Anrufen
StartseiteBlog3-2-1-Backup-Regel
IT-Sicherheit April 2026 6 Min. Lesezeit

Die 3-2-1-Backup-Regel: Warum die meisten KMU falsch sichern — und wie es richtig geht

Die meisten KMU haben ein Backup. Die wenigsten haben ein Backup, das im Ernstfall funktioniert. Der Unterschied liegt nicht in der Technologie — sondern im Konzept dahinter.

Inhaltsverzeichnis

Was die 3-2-1-Regel bedeutet

Die 3-2-1-Backup-Regel ist das Grundprinzip einer zuverlässigen Datensicherung. Sie ist einfach zu merken — aber in der Praxis überraschend selten vollständig umgesetzt:

  • 3 Kopien Ihrer Daten: das Original plus zwei Backups
  • 2 verschiedene Medientypen: z. B. lokale Festplatte und NAS, oder NAS und Tape
  • 1 Kopie off-site: geografisch getrennt vom Primärstandort, idealerweise offline oder in einer isolierten Umgebung

Die Logik dahinter ist robust: Wenn ein Gerät ausfällt, haben Sie ein zweites. Wenn ein Medientyp versagt (z. B. RAID-Ausfall auf dem NAS), haben Sie eine andere Technologie. Wenn das Gebäude brennt oder ein Angriff das lokale Netz trifft, haben Sie eine externe Kopie.

Drei unabhängige Ausfälle müssten gleichzeitig auftreten, damit Sie alle Daten verlieren. Die Wahrscheinlichkeit ist nicht null — aber sie ist gering genug, um als akzeptables Restrisiko zu gelten.

Die häufigsten Backup-Fehler in KMU

In der Praxis sehen wir immer wieder dieselben Fehler — und fast alle sind keine Frage des Budgets, sondern der fehlenden Konzeption:

  • Nur ein NAS als einziger Backup-Träger: Das NAS sichert den Server — aber wer sichert das NAS? Ein RAID ist kein Backup. Es schützt vor Festplattenausfall, aber nicht vor versehentlichem Löschen, Ransomware oder Diebstahl.
  • Backup auf derselben Maschine: Ein lokales Backup auf einer zweiten Partition derselben Festplatte ist kein echtes Backup. Wenn die Festplatte ausfällt oder das System kompromittiert wird, ist beides weg.
  • Nie getestet: Das ist der häufigste und gefährlichste Fehler. Ein Backup, dessen Wiederherstellbarkeit nie überprüft wurde, kann fehlerhaft, unvollständig oder seit Monaten ohne neue Sicherungen sein — ohne dass es jemand gemerkt hat.
  • Kein offsite-Backup: Das lokale NAS sichert zuverlässig. Aber bei einem Einbruch, Brand oder Wasserschaden ist beides am selben Ort — und beides verloren.
  • Backup-Job läuft auf Fehler: Backup-Software sendet Fehlermeldungen — aber wenn niemand die Logs liest oder Alerts konfiguriert sind, merkt niemand, dass der Backup-Job seit drei Monaten fehlschlägt. Das fällt erst auf, wenn man das Backup braucht.

Warum Cloud-Backup allein nicht reicht

Viele KMU glauben, sie seien mit Google Drive, OneDrive oder einer ähnlichen Cloud-Sync-Lösung auf der sicheren Seite. Das ist ein gefährlicher Irrtum — besonders im Kontext von Ransomware.

Cloud-Sync-Dienste synchronisieren Änderungen. Das ist ihr Zweck — und ihr Problem im Schadensfall: Wenn Ransomware Dateien auf dem lokalen System verschlüsselt, synchronisiert OneDrive oder Google Drive die verschlüsselten Versionen in die Cloud. Innerhalb von Minuten sind auch die Cloud-Kopien verschlüsselt.

Das bedeutet nicht, dass Cloud-Dienste nutzlos für Backups sind. Aber es muss eine echte Backup-Lösung sein — mit Versionierung, Unveränderlichkeit (Immutable Storage) und der Möglichkeit, auf einen Zeitpunkt vor dem Angriff zurückzugehen. Cloud-Sync ist kein Backup. Cloud-Backup mit Retention-Policy ist ein Backup.

Wenn Ihr IT-Dienstleister "OneDrive" als Backup-Lösung angibt, fragen Sie nach, wie lange Versionen aufbewahrt werden, ob Ransomware-Schutz (z. B. Microsoft 365 Ransomware Detection) aktiviert ist — und ob jemals ein Wiederherstellungstest durchgeführt wurde.

Die 3-2-1-1-Regel: Die Erweiterung für höhere Sicherheit

Die klassische 3-2-1-Regel hat in den letzten Jahren eine sinnvolle Erweiterung erfahren: die 3-2-1-1-Regel. Die vierte Eins steht für eine Kopie, die offline oder air-gapped ist — also physisch oder logisch vom Netzwerk getrennt.

Der Hintergrund: Ransomware-Gruppen haben gelernt, Backup-Systeme gezielt anzugreifen, bevor sie die Verschlüsselung starten. Wenn das Backup-System im gleichen Netzwerk erreichbar ist, ist es ein potenzielles Angriffsziel. Immutable Storage — Backups, die für einen definierten Zeitraum nicht verändert oder gelöscht werden können — ist die Antwort darauf.

Praktische Umsetzungsmöglichkeiten:

  • Externe Festplatten oder Tapes, die nach der Sicherung physisch getrennt werden ("Rotation")
  • Cloud-Backup-Anbieter mit Object Lock / WORM-Funktion (z. B. S3-kompatible Lösungen mit Immutable Buckets)
  • Dedizierte Backup-Appliances mit Air-Gap-Funktion

Backup-Wiederherstellungstest: Das oft vergessene Kapitel

Eine Backup-Strategie ist nur so gut wie der letzte erfolgreiche Wiederherstellungstest. Dieser Satz klingt selbstverständlich — und wird trotzdem in der Praxis fast überall ignoriert.

Was ein strukturierter Wiederherstellungstest umfasst:

  • Testfrequenz: Mindestens alle 90 Tage, bei kritischen Systemen monatlich
  • RTO definieren: Recovery Time Objective — wie lange darf die Wiederherstellung maximal dauern? Vier Stunden? Zwölf Stunden? Ein Tag? Wenn Sie keine Antwort haben, haben Sie kein SLA.
  • RPO definieren: Recovery Point Objective — wie alt darf der wiederhergestellte Datensatz maximal sein? Ein Tag? Vier Stunden? Je kürzer das RPO, desto häufiger muss gesichert werden.
  • Verantwortlichkeiten festlegen: Wer führt den Restore durch? Wer entscheidet, welcher Wiederherstellungspunkt genutzt wird? Wer informiert Kunden und Behörden? Ohne schriftlichen Notfallplan werden diese Fragen im Ernstfall unter Druck und Zeitdruck beantwortet — meistens nicht optimal.

Dokumentieren Sie jeden Testlauf: Was wurde wiederhergestellt, aus welchem Backup, wie lange hat es gedauert, was hat funktioniert, was nicht. Diese Dokumentation ist auch für Versicherungsansprüche und Compliance-Nachweise relevant.

Was ein professionelles Backup-Konzept kostet

Backup ist kein Luxus — und es muss auch kein großes Budget erfordern. Zur Orientierung:

  • Kleine KMU (bis 20 Mitarbeiter): Ein Hybrid-Ansatz aus lokalem NAS + Cloud-Backup mit Immutable Storage ist ab ca. 150 Euro pro Monat umsetzbar (Hardware amortisiert). Die Einrichtung eines vollständigen Backup-Konzepts inklusive Notfallplan kostet ab ca. 800 Euro einmalig.
  • Mittelgroße KMU (50–200 Mitarbeiter): Professionelle Backup-Lösungen (z. B. Veeam, Acronis, Bacula) mit mehreren Sicherungszielen und automatisiertem Monitoring liegen je nach Datenmenge bei 300–800 Euro monatlich für Lizenzen und Speicher. Einrichtung und Konzeption ab ca. 2.000 Euro.
  • KRITIS oder hochregulierte Umgebungen: Air-gapped Backups, Tape-Rotation, Immutable Storage mit Compliance-Zertifizierung — hier ist eine individuelle Kalkulation notwendig.

In allen Fällen gilt: Die Kosten für ein funktionierendes Backup-System sind ein Bruchteil der Kosten eines erfolgreichen Ransomware-Angriffs ohne Wiederherstellungsmöglichkeit. Laut Studien kostet ein Ransomware-Vorfall im Mittelstand im Durchschnitt zwischen 50.000 und 300.000 Euro — inklusive Betriebsausfall, Forensik, Kommunikation und Wiederherstellung.

Merksatz: Ein Backup, das nie getestet wurde, ist kein Backup — es ist eine Hoffnung.

Häufige Fragen

Die 3-2-1-Regel besagt: 3 Kopien der Daten, auf 2 verschiedenen Medientypen, davon 1 Kopie extern (off-site). Praktisch bedeutet das: eine lokale NAS, eine weitere Sicherung auf einem anderen Medium (z. B. externem USB oder Bandlaufwerk) und eine dritte Kopie außerhalb des Gebäudes oder in einer verschlüsselten Cloud.
Nein. Cloud allein erfüllt die 3-2-1-Regel nicht vollständig — sie ist nur eine von drei Kopien. Außerdem ist bei Ransomware-Befall oder versehentlichem Löschen entscheidend, wie schnell Sie wiederherstellen können. Reine Cloud-Backups können bei großen Datenmengen Stunden oder Tage für die Wiederherstellung benötigen.
Mindestens vierteljährlich — besser monatlich. Ein Backup, das noch nie erfolgreich wiederhergestellt wurde, ist kein Backup. Der Test umfasst die vollständige Wiederherstellung eines relevanten Datenbestands auf einem Testsystem, nicht nur die Prüfung, ob Dateien vorhanden sind.
Die erweiterte 3-2-1-1-Regel fügt ein viertes Kriterium hinzu: 1 Kopie unveränderlich (immutable) — d. h., die Sicherung kann nach dem Schreiben nicht verändert oder gelöscht werden, auch nicht durch Ransomware. Das ist der aktuell empfohlene Standard für KMU mit erhöhtem Schutzbedarf.

Backup-Konzept prüfen lassen

Im Erstgespräch analysieren wir Ihre aktuelle Datensicherung und zeigen Ihnen konkret, wo Lücken bestehen — und was eine professionelle Lösung kostet.

Erstgespräch vereinbaren Infrastruktur-Leistungen ansehen →