Ihre Daten sind nur so sicher wie Ihr schwächstes Backup – Zeit, die Schwachstellen zu eliminieren.
Laut Statista waren 2023 über 72% der Unternehmen weltweit von Ransomware betroffen – oft mit fatalen Folgen, weil Backups unzureichend oder nicht wiederherstellbar waren. Doch selbst ohne Cyberangriffe verlieren KMUs durch Hardware-Defekte oder menschliche Fehler kritische Daten.
Das eigentliche Problem liegt nicht daran, dass keine Backups existieren. Viele Unternehmen haben durchaus Sicherungssysteme implementiert – diese weisen jedoch gravierende Schwachstellen auf. Ein einzelnes Backup auf der gleichen Hardware, ungetestete Wiederherstellungsverfahren oder die Illusion, dass RAID-Systeme vor Datenverlust schützen, führen regelmäßig zu bösen Überraschungen.
Die Lösung? Die 3-2-1-Backup-Regel: Ein Framework für fundamentale Datensicherheit, das Datenverlust in 99% der Fälle verhindert. Diese Regel stammt ursprünglich aus der Fotografie und dem Filmbereich, wo unwiederbringliche Aufnahmen höchste Sicherheitsstandards erfordern, und hat sich längst als Goldstandard für alle Datentypen etabliert.
Die 3-2-1-Backup-Regel » Prinzipien für sichere Backups
Die 3 🠒 Primärdaten plus zwei echte Backups
Das Fundament der Regel bildet die Erkenntnis, dass ein einziges Backup kein Backup ist. Ihre Originaldaten – also die aktiven Arbeitsdateien auf PC oder Server – bilden die Basis. Hinzu kommen zwei vollständig unabhängige Kopien.
Backup 1 sollte idealerweise lokal verfügbar sein, etwa auf einer externen Festplatte oder einem NAS-System. Diese Sicherung ermöglicht schnelle Wiederherstellung bei alltäglichen Problemen wie versehentlichem Löschen oder Hardware-Defekten.
Backup 2 fungiert als zweite unabhängige Kopie und sollte sowohl technisch als auch räumlich getrennt vom ersten Backup sein. Hier liegt ein häufiger Denkfehler: Snapshots oder RAID-Systeme sind keine Backups im Sinne der 3-2-1-Regel. Sie schützen zwar vor bestimmten Hardware-Ausfällen, versagen aber bei Ransomware-Angriffen, versehentlichem Löschen oder Beschädigungen auf Dateisystem-Ebene.
✅ Primärdaten + 2 echte Backups
- Originaldaten: Ihre aktiven Arbeitsdateien (z. B. auf PC oder Server).
- Backup 1: Lokale Sicherung (z. B. auf externer Festplatte oder NAS).
- Backup 2: Zweite unabhängige Kopie.
❗ Wichtig: Snapshots oder RAID sind keine Backups – sie schützen nicht vor Löschung oder Ransomware
Die 2 🠒 Zwei verschiedene Medien – Single Points of Failure vermeiden
Die Verwendung unterschiedlicher Speichermedien reduziert das Risiko gemeinsamer Schwachstellen erheblich. Jede Technologie hat spezifische Ausfallmuster:
Magnetische Medien wie externe Festplatten oder NAS-Systeme bieten hohe Kapazität und Geschwindigkeit, sind jedoch anfällig für mechanische Defekte, Erschütterungen und elektromagnetische Störungen.
Cloud-Storage eliminiert lokale Risiken wie Feuer oder Diebstahl, kann aber durch Provider-Ausfälle, Netzwerkprobleme oder Kontosperrungen temporär unzugänglich werden.
Optische Medien wie Blu-ray-Discs oder moderne Tape-Systeme bieten langfristige Stabilität und sind immun gegen viele digitale Bedrohungen, haben aber langsamere Schreib-/Lesegeschwindigkeiten und erfordern sorgfältige Handhabung.
| Medien-Typ | Beispiele | Risiken |
| Magnetisch | Externe HDD, NAS | Mechanischer Defekt |
| Cloud | Backblaze B2, Wasabi | Provider-Ausfall |
| Optisch/ Tape | Blu-ray, Bänder | Langsame R/W, Handling |
💡 Praxis-Tipp: USB-Sticks zählen NICHT als „Medium 2“ – sie haben hohe Ausfallraten und sind oft physisch am Primärsystem angeschlossen. Nutzen Sie stattdessen:
- NAS mit RAID-Konfiguration für lokale Redundanz.
- Cloud-Storage mit Versionierung (z. B. AWS S3, Backblaze B2).
Die 1 🠒 Ein externes Backup – physisch UND logisch getrennt
Das externe Backup bildet die letzte Verteidigungslinie gegen katastrophale Verluste. „Extern“ bedeutet dabei mehr als nur „außerhalb des Computers„. Ein NAS im Serverraum ist nicht „extern“ – bei Feuer oder Diebstahl sind alle Kopien weg.
Echte externe Backups erfordern entweder räumliche Trennung (mindestens 50 Kilometer Entfernung) oder technologische Isolation. Cloud-Backups erfüllen diese Anforderung automatisch, vorausgesetzt sie verwenden einen anderen Provider als die Primärsysteme. Bei Microsoft 365 oder Google Workspace muss das Backup beispielsweise in einer anderen Cloud liegen – nicht wieder bei Azure oder Google Cloud.
Für physische Medien bedeutet dies regelmäßige Offsite-Lagerung, etwa in Bankschließfächern, Zweigbüros oder vertrauenswürdigen Privathaushalten. Der Rhythmus sollte dem Wert der Daten entsprechen: Während ein Fotograf möglicherweise wöchentliche Offsite-Backups benötigt, reichen für private Nutzer monatliche Zyklen oft aus.
Praxisbeispiele » So setzen Sie 3-2-1 Regel um
Fotograf mit 4TB RAW-Daten
Die Herausforderung: Ein Hochzeitsfotograf arbeitet mit unwiederbringlichen RAW-Dateien, die bei Verlust nicht nur finanzielle, sondern auch reputative Schäden verursachen.
Primärsystem: Arbeits-PC mit schnellen internen SSDs für aktuelle Projekte und Bildbearbeitung.
Backup 1: Synology NAS mit RAID-5-Konfiguration im Büro, verbunden über Gigabit-Ethernet. Tägliche Rsync-Jobs synchronisieren neue und geänderte Dateien automatisch nach Feierabend.
Backup 2 (extern): Kombination aus Backblaze Personal Backup für kontinuierliche Cloud-Sicherung und quartalsweise Vollbackups auf verschlüsselten externen Festplatten, die im heimischen Safe oder Bankschließfach gelagert werden.
💡 Häufige Fehler: Viele Fotografen betrachten ihr NAS als „externes“ Backup, obwohl es im selben Raum wie der PC steht. Somit kein Schutz bei Einbruch, Feuer oder Wasserrohrbruch!
E-Commerce-Shop (Magento/Shopware)
Die Herausforderung: Ein Online-Shop kann sich keine Ausfallzeiten leisten – sowohl Produktdaten als auch Kundendaten müssen jederzeit verfügbar sein.
Primärsystem: Live-Server bei Hetzner mit aktueller Produktdatenbank und Kundendaten.
Backup 1: Lokaler Server im Büro fungiert als Veeam-Ziel mit stündlichen inkrementellen Backups. Dies ermöglicht schnelle Wiederherstellung bei Problemen im Rechenzentrum.
Backup 2 (extern): Backblaze B2 mit Object Lock (immutable Backup) schützt gegen Ransomware-Angriffe. Die Backups sind über konfigurierbare Zeiträume unveränderlich und können selbst bei kompromittierten Administratorkonten nicht gelöscht werden.
Zusätzliche Maßnahmen: Separate Sicherung der Datenbank-Dumps und kritischer Konfigurationsdateien in einem anderen Cloud-Provider (z.B. AWS S3) für maximale Redundanz.
Tools-Übersicht » Von Open Source bis Enterprise
Kurz erklärt – wann was?
- Open Source = maximale Kontrolle, 0 € Lizenz, aber eigenes Know-how nötig.
- Enterprise = SLA, dedizierte GUI, Support – ideal für Compliance & 24/7.
- Cloud-Native = skalierbar in Minuten, keine eigene Hardware, Kosten linear zur Nutzung.
| Kategorie | Open Source / Freeware | Enterprise-Grade (kommerziell) | Cloud-Native SaaS |
| Allrounder | Bacula Community, Bareos, UrBackup | Commvault, Rubrik, Veeam Backup & Replication | AWS Backup, Azure Backup |
| Kleine Teams & KMU | Duplicati, BorgBackup, AOMEI Backupper Standard | Acronis Cyber Protect, EaseUS Todo Backup Enterprise | Backblaze Business, Carbonite Safe |
| Linux-Fokus | BorgBackup, Restic, Timeshift, Zmanda Pro (Community) | Zmanda Pro Enterprise, IBM Spectrum Protect | Wasabi Hot Cloud, Google Cloud Backup |
| Netzwerk-Backup | Amanda, BackupPC | Veritas NetBackup, Dell EMC Avamar | — |
| Kubernetes / Container | Velero | Kasten K10, Commvault Metallic K8s | Google GKE Backup, AWS EBS Snapshots |
| Tape & Legacy | Bacula Community (Tape-Plugin) | Quantum Scalar i6 + Bacula Enterprise, IBM Spectrum Protect | — |
💡 Top-Empfehlungen:
- Für KMUs: Veeam + Wasabi (Kombi aus lokalem + immutablem Cloud-Backup)
- Privatanwender: Backblaze Personal (automatische Cloud-Sicherung) + FreeFileSync (lokale Spiegelung).
Implementierung » Vom Plan zur 3-2-1-Sicherheit
4 Phasen, 14 Tage, 0 Überraschungen 🙂
| Phase | Ziel | Checkliste (✓ = erledigt) | Tipp & Stolperstein |
| 1. Bestandsaufnahme (Tag 1-2) | Wissen, was wirklich weh tut | ☐ Liste kritische Daten (Kunden-DB, aktuelle Projekte) | Stolperstein: «Alles sichern» verzögert das Projekt. Fokussieren Sie sich auf 20 % der Daten, die 80 % des Schadens verursachen. |
| 2. Lokales Backup (Tag 3-7) | Schnelle Wiederherstellung ohne Internet | ☐ NAS mit RAID 6 oder ZFS RAID-Z2 bestellen | Tipp: Erstes Backup direkt per USB 3.2 aufs NAS ziehen – spart 80 % Netzwerkzeit. |
| 3. Cloud-Backup (Tag 8-11) | Geografische Trennung & Versionierung | ☐ Provider-Test: Backblaze B2 vs Wasabi (keine Egress-Gebühren) | Stolperstein: Initial-Upload per Post? Bei > 5 TB lohnt sich AWS Snowball oder Azure Data Box. |
| 4. Monitoring & Wartung (Tag 12-14) | Backup ist nur so gut wie der letzte Restore | ☐ E-Mail-Alert bei fehlgeschlagenen Jobs | Tipp: Kalender-Erinnerung „Restore-Test“ legen – Kleiner Aufwand, 100 % Sicherheit. |
💡 Quick-Win: Nach Phase 2 sind Sie vor 80 % der typischen Ausfälle (Löschfehler, Festplatten-Crash) geschützt. Die Cloud kommt erst danach – so bleibt der Zeitdruck überschaubar.
Häufige Fallstricke » und wie Sie sie heute entschärfen
4 Mindest-Tests, 1 Taschenkarte, 0 Ausreden!
RAID ist kein Backup
Problem: RAID 6 schützt nur gegen Platten-Ausfall, nicht gegen versehentliches Löschen, Ransomware oder Dateisystem-Fehler.
Lösung: Kleben Sie einen Aufkleber „RAID ≠ Backup“ auf das NAS und ergänzen Sie ein zusätzliches, separates Backup – idealerweise auf einem zweiten Medium.
Nie getestete Backups
Problem: 43 % aller Backups lassen sich beim ersten Restore-Versuch nicht einspielen (Veeam-Studie).
Lösung: Legen Sie einen quartalsweisen Restore-Test im Kalender fest. Stellen Sie dabei zwei zufällige Dateien und eine komplette VM wieder her und dokumentieren Sie Erfolg oder Fehler.
Vendor Lock-in
Problem: Proprietäre Formate binden Sie an einen Hersteller – bei Lizenzverlust droht Daten-Gefangenschaft.
Lösung: Verwenden Sie offene Standards wie .tar, .zip, Borg oder Restic und archivieren Sie das Export-Skript in einem Git-Repository. So bleibt der Restore auch ohne Original-Software möglich.
Fehlende oder schwache Verschlüsselung
Problem: Cloud-Provider verschlüsseln zwar, besitzen aber häufig die Schlüssel – im Schadensfall sind die Daten trotzdem offen.
Lösung: Aktivieren Sie client-seitige Verschlüsselung (AES-256) und speichern Sie die Schlüssel offline im Tresor mit Zwei-Faktor-Schutz. Nur Sie entscheiden, wer wiederherstellen darf.
| Fallstricke | Woran erkenne ich ihn? | Sofort-Maßnahme | Praxis-Check in 60 Sek. |
| 1. „RAID = Backup“-Mythos | »Wir haben RAID 6 – alles sicher!« | RAID ≠ Backup ausdrucken & an den Server kleben. Plus tägliches incremental Backup auf separaten Speicher. | ls -la /backup/ zeigt ein vom RAID unabhängiges Verzeichnis? ✔ |
| 2. Nie getestete Backups | Letztes Restore vor … weiß keiner mehr. | Kalender-Eintrag „Restore-Test“ alle 90 Tage. Zwei Dateien + 1 VM zufällig auswählen und prüfen, ob sie startet. | borg list ::2024-07-16 liefert Liste ohne Fehler? ✔ |
| 3. Vendor Lock-in | Nur mit Software X kann ich wiederherstellen. | Open-Formate wählen: .tar, .zip, .qcow2, Borg, Restic. Export-Skript in Git ablegen. | file backup.img zeigt Standard-Format statt proprietären Header? ✔ |
| 4. Falsch oder gar nicht verschlüsselt | Cloud-Provider verschlüsselt für mich. | Client-seitige Verschlüsselung einschalten (AES-256, eigener Schlüssel). Schlüssel offline im Tresor + 2-faktor-geschützt. | gpg -d backup.gpg fragt nach meinem Passwort, nicht nach dem Cloud-Login? ✔ |
3-2-1-Backup-Checkliste zum ausdrucken und abhacken
A4 quer ausdrucken → laminieren → an den Server kleben
| Prüfpunkt | Stolperstein vermeiden | Erledigt ✓ |
| Hardware-Redundanz – Backup liegt auf physikalisch anderem Gerät (keine zweite Partition!) | NAS ≠ zweite Festplatte im gleichen PC | ☐ |
| Cloud-Backup mit Versionierung ≥ 30 Tage aktiviert | Ohne Versionierung: Ransomware löscht auch die Cloud | ☐ |
| Externes Backup ≥ 50 km entfernt ODER andere Cloud-Region | Brand im Rechenzentrum trifft Cloud und Colocation gleichzeitig | ☐ |
| Zwei unabhängige Medien (z. B. NAS + Cloud / NAS + Tape) | USB-Stick zählt nicht – zu fehleranfällig | ☐ |
| Verschlüsselung aktiv – client-seitig, AES-256 | Cloud-verschlüsselt ≠ Schlüssel liegt beim Anbieter | ☐ |
| Wiederherstellungsschlüssel offline im Tresor + 2-Faktor | Schlüssel nur digital = Schließfach ohne Schlüssel | ☐ |
| Monitoring – E-Mail/SMS bei Backup-Fehler | Fehlgeschlagene Jobs bleiben unbemerkt | ☐ |
| Zugriffsbeschränkung – getrennte Admin-Konten für Backup | Gleiches Konto = Ransomware löscht alles | ☐ |
| Test-Restore in den letzten 90 Tagen – Datei + VM | 43 % der Restores scheitern beim ersten Versuch | ☐ |
| Restore-Geschwindigkeit dokumentiert (RTO-Check) | 1 TB in 48 h ≠ Geschäftsführung wartet 4 h | ☐ |
| Notfallplan ausgedruckt & Kontakte hinterlegt | Nur im Wiki = kein Strom = kein Zugriff | ☐ |
| Jährliche Strategie-Review – neue Datentypen integriert | Cloud-Kosten explodieren, weil nie geprüft | ☐ |
Nächster Termin: ___________ (Datum)
Verantwortlicher: ____________________ (Unterschrift)
Fazit » 3-2-1 ist Ihr Notfallfahrplan, kein Glücksfall
Wenn Sie heute drei Kopien auf zwei Medien und ein externes Depot nach der Checkliste eingerichtet haben, können Sie morgen ruhig schlafen – egal ob Festplatte, Firewall oder Gebäude ausfällt.
Die 3-2-1 Backup-Regel ist keine Luxusoption, sondern der kleinste gemeinsame Nenner zwischen IT-Profi und KMU-Chef. Drucken Sie die Checkliste aus, hängen Sie sie neben den Server und kreuzen Sie Punkt für Punkt ab.
Ihre Daten sind es wert – und Ihre Nerven auch.
