StartAktuelles › Backup-Strategie 3-2-1
← Alle Artikel
Security Backup 20. März 2026 10 Min. Lesezeit

Backup-Strategie 3-2-1: So schützen Sie Ihre Daten richtig

Die 3-2-1-Regel ist der Goldstandard der Datensicherung. In Zeiten aggressiver Ransomware-Angriffe ist sie wichtiger denn je - aber reicht sie allein noch aus? Wir zeigen, wie Sie die Strategie richtig umsetzen und erweitern.

Ransomware-Angriffe haben sich in den letzten Jahren verfünffacht. Die durchschnittliche Ausfallzeit nach einem erfolgreichen Angriff beträgt 21 Tage - mit Kosten, die für mittelständische Unternehmen schnell existenzbedrohend werden. Der einzige zuverlässige Schutz: eine durchdachte Backup-Strategie, die auch im Ernstfall funktioniert.

Die 3-2-1-Regel erklärt

Die 3-2-1-Regel ist ein einfaches, aber wirkungsvolles Konzept für die Datensicherung. Ursprünglich vom amerikanischen Fotografen Peter Krogh formuliert, hat sie sich als Industriestandard etabliert:

3

Drei Kopien

Halten Sie mindestens drei Kopien Ihrer Daten vor: das Original und zwei Backups.

2

Zwei Medientypen

Speichern Sie die Backups auf mindestens zwei verschiedenen Medientypen (z.B. SSD und Tape).

1

Ein Offsite

Bewahren Sie mindestens eine Kopie an einem anderen Standort auf (Offsite oder Cloud).

Die Logik dahinter ist einfach: Je mehr unabhängige Kopien existieren, desto unwahrscheinlicher wird ein totaler Datenverlust. Verschiedene Medientypen schützen gegen technologiespezifische Ausfälle. Ein externer Standort sichert gegen lokale Katastrophen wie Brand, Wasser oder Diebstahl.

Warum 3-2-1 allein nicht mehr reicht

Die klassische 3-2-1-Regel schützt zuverlässig gegen Hardware-Ausfälle, Naturkatastrophen und menschliche Fehler. Gegen moderne Ransomware stellt sie jedoch oft keinen ausreichenden Schutz mehr dar.

Das Problem: Moderne Ransomware verschlüsselt nicht nur Produktivdaten, sondern sucht gezielt nach Backups im Netzwerk. Wenn alle Backups online erreichbar sind, werden sie ebenfalls verschlüsselt - selbst wenn sie auf verschiedenen Medien und an verschiedenen Standorten liegen.

Deshalb empfehlen Sicherheitsexperten heute die erweiterte 3-2-1-1-0 Regel:

  • 3 - Drei Kopien der Daten
  • 2 - Zwei verschiedene Medientypen
  • 1 - Eine Kopie Offsite (geografisch getrennt)
  • 1 - Eine Kopie Offline oder Air-Gapped
  • 0 - Null Fehler bei der Wiederherstellung (regelmäßige Tests!)

Air-Gap: Ein Air-Gapped Backup ist physisch vom Netzwerk getrennt und kann daher nicht von Ransomware erreicht werden. Das kann ein LTO-Tape, eine externe Festplatte im Tresor oder ein dediziertes Offsite-System mit manueller Verbindung sein.

Ransomware-sichere Backup-Architektur

Eine moderne, ransomware-sichere Backup-Architektur besteht aus mehreren Ebenen, die sich gegenseitig absichern:

Ebene 1: Produktivumgebung

Ihre Produktivdaten auf Servern, NAS oder in der Cloud bilden die erste Kopie. Diese sind naturgemass online und damit angreifbar - deshalb brauchen Sie die weiteren Ebenen.

Ebene 2: Primäres Backup (Online)

Ein dedizierter Backup-Server im eigenen Netzwerk oder eine Backup-Appliance. Hier laufen tägliche inkrementelle Backups zusammen. Wichtig: Separate Credentials verwenden - kein Domain-Admin! Wo möglich Immutable Snapshots aktivieren, die nachträglich nicht verändert werden können.

Ebene 3: Sekundäres Backup (Offsite/Cloud)

Verschlüsselte Replikation in die Cloud oder zu einem externen Rechenzentrum. Georedundanter Speicher wie AWS S3 oder Azure Blob mit aktiviertem Object Lock bietet zusätzlichen Schutz. Nutzen Sie eigene Encryption Keys (Bring Your Own Key) für maximale Kontrolle.

Ebene 4: Air-Gap Backup (Offline)

LTO-Tapes oder externe Medien, die physisch vom Netzwerk getrennt sind. Diese werden wöchentlich oder monatlich aktualisiert und im Tresor oder Bankschliessfach gelagert. Das ist Ihre letzte Verteidigungslinie - selbst wenn Ransomware alle Online-Backups kompromittiert, bleibt dieses Backup sicher.

Häufige Fehler

  • Backup-Server mit Domain-Admin-Rechten
  • Alle Backups ständig online
  • Keine Immutability-Funktion genutzt
  • Backup-Tests nur auf dem Papier
  • Offsite-Backup am selben Standort

Best Practices

  • Dedizierte Backup-Credentials
  • Mindestens ein Offline-Backup
  • Immutable Backups wo möglich
  • Quartalweise Recovery-Tests
  • Echte geografische Trennung

Praktische Umsetzung Schritt für Schritt

Schritt 1: Daten klassifizieren

Nicht alle Daten sind gleich wichtig. Klassifizieren Sie nach Kritikalität:

  • Kritisch: Finanzdaten, Kundendaten, ERP-Datenbanken - tägliches Backup, Recovery innerhalb Minuten
  • Wichtig: E-Mails, Dokumente, Projektdaten - tägliches Backup, Recovery innerhalb Stunden
  • Standard: Archivdaten, alte Projekte - wöchentliches Backup, Recovery innerhalb Tagen

Schritt 2: Backup-Medien und -Software wählen

Für das primäre Backup eignen sich NAS-Systeme oder dedizierte Backup-Server. Als Software empfehlen wir Veeam Backup & Replication für Windows-Umgebungen oder Proxmox Backup Server als Open-Source-Alternative. Für Linux-Systeme sind Restic oder Borg Backup ausgezeichnete Optionen.

Wichtige Features bei der Software-Auswahl:

  • Immutable Backups: Backups, die nach dem Schreiben nicht mehr verändert werden können
  • Ransomware-Erkennung: Erkennt verdächtige Verschlüsselungsaktivitäten
  • Schnelle Wiederherstellung: Instant Recovery, Granular Restore
  • Verschlüsselung: AES-256 für Daten in Transit und at Rest

Schritt 3: Backup-Schedule definieren

Ein typischer Schedule für ein mittelständisches Unternehmen:

Tägliche Backups

Inkrementelle Sicherung um 02:00 Uhr auf lokales NAS. Retention: 14 Tage. Automatische Prüfung auf Vollständigkeit.

Woechentliche Backups

Vollbackup jeden Samstag um 23:00 Uhr. Speicherung auf lokalem NAS plus Replikation in die Cloud. Retention: 4 Wochen.

Monatliche Offsite-Backups

Letzter Sonntag des Monats: Vollbackup auf Cloud-Speicher plus LTO-Tape für Air-Gap. Retention: 12 Monate.

Jährliche Archiv-Backups

Zum Jahresende: Archivkopie auf LTO-Tape für 10 Jahre Aufbewahrung (gesetzliche Anforderungen). Lagerung im Bankschliessfach.

Schritt 4: Recovery regelmäßig testen

Ein Backup ist nur so gut wie seine letzte erfolgreiche Wiederherstellung. Viele Unternehmen erleben im Ernstfall boese Überraschungen, weil sie ihre Backups nie getestet haben.

Realität: 68% der KMU haben noch nie einen vollständigen Recovery-Test durchgeführt. Viele stellen erst im Ernstfall fest, dass ihre Backups nicht funktionieren oder unvollständig sind.

Empfohlener Test-Rhythmus:

  1. Monatlich: Wiederherstellung einzelner Dateien und Ordner - stichprobenartig prüfen
  2. Quartalsweise: Wiederherstellung eines kompletten Servers oder einer VM in einer Testumgebung
  3. Jährlich: Vollständiger Disaster-Recovery-Test mit dokumentiertem Ablauf und Zeitmessung

Was kostet eine professionelle Backup-Strategie?

Eine professionelle 3-2-1-1 Strategie erfordert eine Investition - aber deutlich weniger als ein Ransomware-Angriff kosten würde:

  • Backup-Server (Hardware): 2.000 - 5.000 EUR einmalig (Abschreibung über 5 Jahre)
  • Backup-Software: 500 - 2.000 EUR jährlich (abhängig von Umfang)
  • Cloud-Speicher: 50 - 200 EUR monatlich (für 10 TB)
  • LTO-Tape-Laufwerk: 1.500 - 3.000 EUR einmalig
  • LTO-Tapes: 50 - 100 EUR pro Tape (12 TB Kapazität)

Gesamtinvestition für ein mittelständisches Unternehmen: 4.000 - 10.000 EUR einmalig plus 50 - 200 EUR monatlich. Zum Vergleich: Der durchschnittliche Schäden durch einen Ransomware-Angriff beträgt 4,5 Millionen Euro - inklusive Loesegeld, Ausfallzeit, Wiederherstellung und Reputationsschaden.

Passende Leistungen
Managed Backup Service Cyber Security Backup & Disaster Recovery Colocation

Fazit: Backup ist Ihre Lebensversicherung

Eine durchdachte Backup-Strategie nach der 3-2-1-1-0 Regel ist Ihre beste Verteidigung gegen Ransomware und Datenverlust. Die Investition ist überschaubar - der potentielle Schäden ohne funktionierendes Backup ist existenzbedrohend.

Die wichtigsten Erkenntnisse:

  • Die klassische 3-2-1-Regel ist ein guter Anfang, reicht aber gegen Ransomware nicht mehr aus
  • Mindestens ein Air-Gap-Backup ist unverzichtbar - physisch vom Netzwerk getrennt
  • Immutable Backups verhindern nachträgliche Manipulation
  • Regelmäßige Recovery-Tests sind genauso wichtig wie das Backup selbst
  • Die Kosten einer professionellen Backup-Strategie sind ein Bruchteil der Kosten eines Ransomware-Angriffs

Beginnen Sie heute: Überprüfen Sie Ihre aktuelle Backup-Strategie. Identifizieren Sie Lücken und schließen Sie diese systematisch. Denn im Ernstfall zählt nur eins: Können Sie Ihre Daten wiederherstellen?

Backup-Strategie überprüfen lassen

Wir analysieren Ihre aktuelle Backup-Infrastruktur und entwickeln eine ransomware-sichere Strategie - passend zu Ihrem Budget und Ihren Anforderungen.

Weitere Artikel
Security

Ransomware-Prävention und Notfallplan

So bereiten Sie Ihr Unternehmen auf den Ernstfall vor und reagieren richtig.
Compliance

NIS2-Compliance für den Mittelstand

Was die neue EU-Richtlinie für Ihre Backup-Strategie bedeutet.
Best Practice

IT-Notfallplan erstellen

Schritt-für-Schritt-Anleitung für einen funktionierenden Disaster-Recovery-Plan.