- Das klassische 3-2-1-Prinzip (3 Kopien, 2 verschiedene Medien, 1 extern) wurde zum 3-2-1-1-0-Prinzip erweitert: eine zusätzliche immutable Kopie und null Fehler bei Restore-Tests.
- Immutable Backups sind der wichtigste Schutz gegen Ransomware, weil sie auch von Angreifern mit Administratorrechten nicht gelöscht oder verschlüsselt werden können.
- Die Null in 3-2-1-1-0 steht für null Fehler bei der Wiederherstellung. Regelmäßige Restore-Tests sind Pflicht, nicht optional.
- Ein realistisches Backup-Setup für 100 Mitarbeiter kostet zwischen 500 und 1.500 Euro monatlich, je nach Datenvolumen und gewählten Tools.
- BSI IT-Grundschutz und NIS2 fordern beide ein dokumentiertes Datensicherungskonzept mit regelmäßigen Tests und klaren Verantwortlichkeiten.
Die 3-2-1-Regel: Ein Klassiker, der in die Jahre gekommen ist
Die 3-2-1-Regel für Backups stammt aus einer Zeit, in der die größte Bedrohung für Daten ein Festplattenausfall oder ein Brand im Serverraum war. Die Regel ist einfach und einprägsam: Halte mindestens 3 Kopien deiner Daten, speichere sie auf mindestens 2 verschiedenen Medientypen und bewahre mindestens 1 Kopie an einem externen Standort auf.
Das war und ist ein guter Ausgangspunkt. Drei Kopien bedeuten, dass der gleichzeitige Ausfall aller Kopien extrem unwahrscheinlich ist. Zwei verschiedene Medientypen schützen gegen medienspezifische Ausfälle (wenn alle Backups auf derselben RAID-Konfiguration liegen und der RAID-Controller ausfällt, sind alle betroffen). Ein externer Standort schützt gegen lokale Katastrophen wie Brand, Hochwasser oder Einbruch.
Was die 3-2-1-Regel nicht adressiert, sind zwei Bedrohungen, die in den letzten Jahren massiv an Bedeutung gewonnen haben: Ransomware, die gezielt Backups verschlüsselt, und Backup-Fehler, die erst beim Restore auffallen. Beide Szenarien können dazu führen, dass du drei Kopien auf zwei Medien an einem externen Standort hast und trotzdem nichts wiederherstellen kannst.
Die Evolution: 3-2-1 wird zu 3-2-1-1-0
Die Sicherheitsgemeinschaft hat die 3-2-1-Regel deshalb schrittweise erweitert. Zuerst kam die 3-2-1-1-Regel, die eine zusätzliche immutable (unveränderliche) oder air-gapped (physisch getrennte) Kopie fordert. Dann folgte die 3-2-1-1-0-Regel, die zusätzlich null Fehler bei Restore-Tests verlangt.
Jede Ziffer steht für eine konkrete Anforderung an deine Backup-Strategie:
- 3: Mindestens drei Kopien der Daten
- 2: Auf mindestens zwei verschiedenen Medientypen
- 1: Mindestens eine Kopie an einem externen Standort
- 1: Mindestens eine Kopie immutable oder air-gapped
- 0: Null Fehler bei Restore-Tests
Im Folgenden wird jede Ziffer im Detail erklärt, mit konkreten Beispielen und den häufigsten Fehlern, die Unternehmen dabei machen.
Die 3: Mindestens drei Kopien deiner Daten
Die erste Kopie sind deine Produktionsdaten, also die Daten auf dem Live-System, mit dem du täglich arbeitest. Die zweite und dritte Kopie sind deine Backups.
Warum drei und nicht zwei? Wenn du nur ein Backup hast und das Produktionssystem ausfällt, hast du genau eine Kopie deiner Daten. Wenn diese eine Kopie fehlerhaft ist, was du erst beim Restore bemerkst, hast du nichts mehr. Drei Kopien bedeuten: Selbst wenn eine Backup-Kopie fehlerhaft ist, hast du noch eine zweite.
Praxisbeispiel: Ein mittelständisches Unternehmen mit einem Fileserver und einem ERP-System hat folgende drei Kopien: die Produktionsdaten auf dem Server, ein tägliches Backup auf ein lokales NAS (Network Attached Storage) und ein tägliches Backup in die Cloud. Damit sind die Mindestanforderung der "3" erfüllt.
Häufiger Fehler: Snapshots oder RAID als Backup zählen. Ein Snapshot ist kein Backup, weil er auf demselben Speichersystem liegt. Wenn die Storage-Hardware ausfällt, sind Produktionsdaten und Snapshots gemeinsam verloren. RAID schützt vor dem Ausfall einzelner Festplatten, nicht vor logischen Fehlern, Ransomware oder versehentlichem Löschen.
Die 2: Mindestens zwei verschiedene Medientypen
Die zweite Ziffer fordert, dass die Backups auf mindestens zwei verschiedenen Speichermedien liegen. Das Ziel: Schutz vor medienspezifischen Ausfällen und gemeinsamen Fehlerquellen.
Was zählt als unterschiedlicher Medientyp? Die Unterscheidung ist weniger streng zu sehen als früher, als man zwischen Festplatten und Bandlaufwerken differenziert hat. Heute geht es eher um unterschiedliche Speichertechnologien und Fehlerbereiche. Ein lokales NAS und ein Cloud-Objektspeicher sind zwei verschiedene Medientypen, auch wenn beide letztlich auf Festplatten basieren. Zwei NAS-Systeme desselben Herstellers im selben Rechenzentrum dagegen nicht, weil eine Firmware-Schwachstelle beide gleichzeitig treffen könnte.
Praxisbeispiel: Kombination 1 ist lokales NAS plus Cloud-Speicher (S3, Azure Blob, Backblaze B2). Das ist die häufigste und pragmatischste Kombination für KMU. Kombination 2 ist lokale Festplatte/NAS plus LTO-Bandlaufwerk. Bänder sind unempfindlich gegen Ransomware (offline, kein Netzwerkzugriff) und eignen sich hervorragend für Langzeitarchivierung, erfordern aber manuelle Handhabung. Kombination 3 ist Cloud-Backup bei Anbieter A plus Cloud-Backup bei Anbieter B. Vermeidet Single-Point-of-Failure bei einem Cloud-Anbieter, erhöht aber die Komplexität und die Kosten.
Häufiger Fehler: Zwei Partitionen auf derselben Festplatte als "zwei Medientypen" werten. Das schützt gegen nichts außer versehentliches Löschen.
Die 1 (erste): Mindestens eine Kopie extern
Die dritte Ziffer existiert seit dem ursprünglichen 3-2-1-Prinzip und bleibt unverändert wichtig. Mindestens eine Backup-Kopie muss an einem physisch getrennten Standort aufbewahrt werden. Das schützt gegen lokale Katastrophen: Brand, Hochwasser, Einbruch, Stromausfall mit Hardware-Schäden oder schlicht ein Rohrbruch im Serverraum.
"Extern" bedeutet: Ein anderes Gebäude, idealerweise in einer anderen Brandschutzzone. Nicht der Tresor im Nebenraum, und schon gar nicht die USB-Festplatte auf dem Schreibtisch neben dem Server.
Praxisbeispiel: Für die meisten mittelständischen Unternehmen ist Cloud-Backup die einfachste Umsetzung der externen Kopie. Die Daten liegen automatisch in einem Rechenzentrum, das hunderte Kilometer entfernt sein kann. Alternative: Ein zweiter Firmenstandort oder ein angemietetes Rack in einem Colocation-Rechenzentrum.
Häufiger Fehler: Die externe Kopie wird zwar erstellt, aber die Übertragung nicht überwacht. Wenn der Cloud-Backup-Job seit drei Wochen fehlschlägt und niemand es bemerkt, hast du faktisch keine externe Kopie mehr.
Die 1 (zweite): Mindestens eine immutable oder air-gapped Kopie
Die vierte Ziffer ist die wichtigste Erweiterung gegenüber dem klassischen 3-2-1-Prinzip und die direkte Antwort auf Ransomware. Eine immutable Kopie kann nach dem Schreiben nicht mehr verändert oder gelöscht werden, auch nicht von einem Administrator und auch nicht von einem Angreifer, der Administratorrechte erlangt hat.
Warum ist das so wichtig?
Moderne Ransomware-Angriffe folgen einem Muster: Die Angreifer verschaffen sich Zugang zum Netzwerk, bewegen sich lateral durch die Infrastruktur, erlangen Administratorrechte und suchen gezielt nach Backup-Systemen. Erst wenn sie sicher sind, dass auch die Backups verschlüsselt oder gelöscht sind, aktivieren sie die Ransomware auf den Produktionssystemen. Wenn deine Backups über denselben Admin-Account erreichbar sind wie die Produktionssysteme, sind sie bei einem solchen Angriff wertlos.
Immutable Backups: Wie funktioniert das?
Es gibt verschiedene technische Ansätze für Immutability.
Object Lock in Cloud-Speicher: AWS S3 Object Lock, Azure Immutable Blob Storage und Backblaze B2 bieten die Möglichkeit, Objekte für einen definierten Zeitraum unveränderlich zu machen. Im Compliance-Modus kann selbst der Root-Account die Daten nicht löschen, bis die Retention-Periode abgelaufen ist. Das ist die einfachste und kostengünstigste Methode für Immutability.
Immutable Repositories in Backup-Software: Veeam bietet seit Version 11 das "Hardened Linux Repository", bei dem Backup-Dateien mit dem Linux-Attribut immutable versehen werden. Die Backup-Software hat keinen Root-Zugriff auf das Repository, sodass selbst ein kompromittierter Backup-Server die Daten nicht löschen kann. Ähnliche Konzepte gibt es bei Commvault, Cohesity und anderen Enterprise-Backup-Lösungen.
WORM-Speicher (Write Once, Read Many): Spezialisierte Storage-Systeme wie NetApp SnapLock oder dedizierte WORM-Appliances bieten hardwaregestützte Unveränderlichkeit. Diese Lösung ist die sicherste, aber auch die teuerste.
Air-Gapped Backups: Die physische Trennung ist die älteste und nach wie vor effektivste Form der Immutability. Ein LTO-Band, das im Tresor liegt, kann nicht über das Netzwerk angegriffen werden. Auch USB-Festplatten, die nach dem Backup physisch getrennt und eingeschlossen werden, erfüllen diesen Zweck, erfordern aber manuelle Disziplin.
Empfehlung für KMU
Für mittelständische Unternehmen ist die Kombination aus Cloud-Backup mit Object Lock und einem lokalen Hardened Repository der beste Kompromiss aus Sicherheit, Kosten und Aufwand. Die Cloud-Kopie ist automatisch extern und immutable, das lokale Repository ermöglicht schnelle Restores bei kleineren Vorfällen.
Die 0: Null Fehler bei Restore-Tests
Die fünfte und letzte Ziffer ist vielleicht die am häufigsten ignorierte und gleichzeitig die wichtigste. Ein Backup, das sich nicht wiederherstellen lässt, ist kein Backup. Es ist eine Illusion von Sicherheit.
Warum scheitern Restores?
Die Gründe sind vielfältig und oft banal: Die Backup-Software meldet "Backup erfolgreich", obwohl einzelne Dateien übersprungen wurden. Die Backup-Daten sind konsistent, aber die Anwendung kann sie nicht importieren, weil eine Versionsinkompatibilität vorliegt. Das Backup umfasst die Daten, aber nicht die Konfiguration der Anwendung, sodass der Restore zwar funktioniert, die Anwendung danach aber nicht startet. Die Netzwerkbandbreite zum Cloud-Speicher reicht nicht aus, um die Daten in akzeptabler Zeit zurückzuladen. Die Restore-Prozedur ist dokumentiert, aber niemand hat sie je durchgeführt, und im Ernstfall fehlen Zugangsdaten oder Lizenzen.
Wie testest du richtig?
Restore-Tests sollten auf verschiedenen Ebenen stattfinden. Datei-Restores (einzelne Dateien oder Ordner wiederherstellen) sollten monatlich stattfinden und sind schnell durchgeführt. Sie testen die grundlegende Integrität des Backups.
Anwendungs-Restores (eine komplette Anwendung mit Datenbank wiederherstellen und prüfen, ob sie funktioniert) sollten quartalsweise stattfinden. Sie sind aufwändiger, decken aber die Probleme auf, die ein reiner Datei-Restore nicht zeigt.
Full Bare-Metal-Restores (ein komplettes System von Grund auf wiederherstellen) sollten mindestens halbjährlich, besser quartalsweise stattfinden. Sie testen den gesamten Wiederherstellungsprozess einschließlich Betriebssystem, Treiber, Konfiguration und Anwendungen.
Disaster-Recovery-Tests (den gesamten Geschäftsbetrieb an einem alternativen Standort wiederherstellen) sollten jährlich stattfinden. Das ist der ultimative Test, der zeigt, ob dein Business-Continuity-Plan funktioniert.
Dokumentation der Tests
Jeder Restore-Test muss protokolliert werden: Datum, getestetes System, Art des Tests, Ergebnis (erfolgreich/fehlgeschlagen), Dauer der Wiederherstellung (RTO-Messung), Datenverlust (RPO-Messung, also der Zeitraum zwischen dem Backup-Zeitpunkt und dem Ausfall), festgestellte Probleme und eingeleitete Korrekturmaßnahmen.
Diese Protokolle sind Gold wert bei Audits. Ein Auditor, der sieht, dass du quartalsweise Restore-Tests durchführst, die Ergebnisse dokumentierst und Probleme systematisch behebst, wird wenig zu beanstanden haben.
Beispiel-Setup: 100-Mitarbeiter-Unternehmen
Um das 3-2-1-1-0-Prinzip greifbar zu machen, hier ein konkretes Backup-Setup für ein typisches mittelständisches Unternehmen mit rund 100 Mitarbeitern.
Ausgangslage
Das Unternehmen betreibt folgende Systeme: einen Fileserver mit 5 TB Nutzdaten, ein ERP-System (z.B. SAP Business One oder Microsoft Dynamics) mit SQL-Datenbank (200 GB), einen Exchange Server oder Microsoft 365 für E-Mail, ein Active Directory mit Gruppenrichtlinien und Zertifikaten, diverse Fachanwendungen auf zwei bis drei Applikationsservern und 100 Windows-Clients.
Backup-Architektur
Kopie 1 (Produktion): Die Live-Daten auf den Produktionsservern. Tägliche Snapshots auf dem Storage für schnelle Rollbacks bei versehentlichem Löschen (kein Backup-Ersatz, aber nützlich für den Alltag).
Kopie 2 (lokales Backup): Ein dedizierter Backup-Server mit Veeam Backup & Replication. Lokales Repository auf einem Synology NAS mit 20 TB (RAID 6). Tägliche inkrementelle Backups mit wöchentlichem Synthetic Full. Retention: 30 Tage. Dieses Backup ermöglicht schnelle Restores (Gigabit-LAN-Geschwindigkeit) und ist das primäre Wiederherstellungsziel für den Alltag.
Kopie 3 (Cloud-Backup, extern + immutable): Veeam Scale-out Backup Repository mit Capacity Tier auf Backblaze B2 oder AWS S3. Object Lock aktiviert mit 60 Tagen Retention. Tägliche Offload der lokalen Backups in die Cloud. Dieses Backup erfüllt gleichzeitig die "1" für extern und die "1" für immutable.
Zusätzlich (air-gapped): Monatliches Full-Backup auf eine USB-Festplatte (verschlüsselt mit AES-256), die im Banktresor oder feuersicheren Safe an einem anderen Standort aufbewahrt wird. Rotation von drei Festplatten. Das klingt altmodisch, aber es ist der ultimative Schutz gegen alles, was mit dem Netzwerk zusammenhängt.
Kosten
Die Kosten für dieses Setup setzen sich zusammen aus: Veeam Backup & Replication für 100 Instanzen kostet rund 3.000 Euro pro Jahr. Ein Synology NAS (z.B. RS1221RP+ mit 8 x 4 TB) liegt bei rund 3.500 Euro einmalig. Cloud-Speicher bei Backblaze B2 für geschätzt 8 TB (nach Deduplizierung und Komprimierung) kostet rund 50 Euro pro Monat. Drei USB-Festplatten (je 8 TB, verschlüsselungsfähig) kosten rund 500 Euro einmalig. Und die Arbeitszeit für Einrichtung, Monitoring und Tests beträgt geschätzt 4-8 Stunden pro Monat.
Insgesamt landest du bei ungefähr 500 bis 800 Euro monatlich, wenn du die Einmalkosten auf drei Jahre umlegst. Das ist für ein 100-Mitarbeiter-Unternehmen ein vertretbarer Betrag, insbesondere wenn du es gegen die Kosten eines Datenverlusts rechnest.
Alternative für kleinere Budgets
Wenn Veeam zu teuer ist, gibt es Alternativen. Proxmox Backup Server ist Open Source und kostenlos (Support-Subscription optional), unterstützt inkrementelle Backups mit Deduplizierung und bietet Verifizierung von Backups, allerdings nur für Proxmox-VMs und Linux-Systeme. Restic oder BorgBackup sind Open-Source-Backup-Tools mit Deduplizierung und Verschlüsselung, die sich gut mit Cloud-Speicher kombinieren lassen. Sie erfordern mehr manuelles Setup, sind aber extrem flexibel und kostenlos. Duplicati bietet eine grafische Oberfläche, unterstützt zahlreiche Cloud-Anbieter und ist ebenfalls Open Source.
Mit diesen Tools lässt sich ein 3-2-1-1-0-konformes Setup für unter 200 Euro monatlich (primär Cloud-Speicherkosten) realisieren, wenn du bereit bist, mehr Zeit in Setup und Wartung zu investieren.
BSI-Empfehlungen zur Datensicherung
Das BSI hat im IT-Grundschutz-Kompendium mehrere Bausteine, die sich mit Datensicherung befassen. Die wichtigsten sind CON.3 (Datensicherungskonzept) und OPS.1.2.2 (Archivierung).
CON.3: Datensicherungskonzept
Der Baustein CON.3 fordert ein dokumentiertes Datensicherungskonzept, das die folgenden Punkte adressiert.
Datenbestandsaufnahme: Welche Daten gibt es, wo liegen sie und wie kritisch sind sie? Die Schutzbedarfsfeststellung liefert die Grundlage dafür. Ohne diese Bestandsaufnahme kannst du keine sinnvolle Backup-Strategie definieren, weil du nicht weißt, was du sichern musst.
Einflussfaktoren: Wie groß ist das Datenvolumen, wie häufig ändern sich die Daten, welche Verfügbarkeitsanforderungen bestehen (RTO und RPO) und wie viel Datenverlust ist tolerierbar?
Backup-Verfahren: Welche Verfahren werden eingesetzt (Voll-Backup, inkrementell, differenziell)? In welchen Intervallen? Mit welcher Software?
Aufbewahrungsfristen: Wie lange werden Backups aufbewahrt? Gibt es gesetzliche Aufbewahrungspflichten, die berücksichtigt werden müssen?
Verantwortlichkeiten: Wer ist für die Datensicherung verantwortlich? Wer überwacht die Backup-Jobs? Wer führt Restore-Tests durch?
Wiederherstellungstests: Regelmäßige Tests der Wiederherstellung sind keine Empfehlung, sondern eine Anforderung. Der Baustein formuliert das unmissverständlich.
NIS2 und Datensicherung
NIS2 Artikel 21 Nr. 3 fordert die Aufrechterhaltung des Betriebs, einschließlich Backup-Management und Wiederherstellung nach einem Notfall. Das ist breiter formuliert als die BSI-Bausteine, meint aber im Kern dasselbe: Du brauchst ein dokumentiertes Konzept, musst es umsetzen und nachweisen können, dass es funktioniert.
Wenn du dein Datensicherungskonzept nach dem 3-2-1-1-0-Prinzip aufbaust, die BSI-Anforderungen aus CON.3 berücksichtigst und regelmäßige Restore-Tests dokumentierst, erfüllst du sowohl die BSI-Vorgaben als auch die NIS2-Anforderungen in diesem Bereich.
Typische Fehler und wie du sie vermeidest
Backup ohne Monitoring. Der Backup-Job läuft jede Nacht, aber niemand prüft, ob er erfolgreich war. Fehlgeschlagene Jobs werden erst bemerkt, wenn ein Restore benötigt wird. Lösung: Automatisierte Benachrichtigungen bei Fehlern und ein wöchentlicher Review der Backup-Logs.
Kein Test der Wiederherstellungszeit. Das Backup funktioniert, aber der Restore von 5 TB aus der Cloud dauert bei 100 Mbit/s Leitung fast fünf Tage. Wenn das RTO bei 24 Stunden liegt, ist das ein Problem. Lösung: Die Wiederherstellungszeit bei jedem Restore-Test messen und mit dem RTO abgleichen.
Backup-Zugangsdaten im selben System. Die Credentials für den Cloud-Backup-Speicher liegen im Passwort-Manager auf dem Server, der gesichert wird. Wenn der Server kompromittiert wird, hat der Angreifer auch Zugang zum Backup-Speicher. Lösung: Backup-Zugangsdaten getrennt aufbewahren und Object Lock nutzen, damit selbst mit den Zugangsdaten keine Löschung möglich ist.
Microsoft 365 nicht gesichert. Viele Unternehmen gehen davon aus, dass Microsoft ihre Daten sichert. Microsoft garantiert aber nur die Verfügbarkeit der Infrastruktur, nicht die Wiederherstellbarkeit einzelner E-Mails, SharePoint-Dokumente oder Teams-Daten nach versehentlichem Löschen oder Ransomware. Lösung: Ein dediziertes Microsoft-365-Backup mit Tools wie Veeam for Microsoft 365, AvePoint oder Hornetsecurity.
Verschlüsselungsschlüssel verloren. Das Backup ist verschlüsselt (gut), aber der Schlüssel liegt nur auf dem Server, der gerade ausgefallen ist (schlecht). Lösung: Verschlüsselungsschlüssel und Recovery-Keys an einem sicheren, separaten Ort aufbewahren (z.B. im Banktresor, gemeinsam mit den air-gapped Backup-Festplatten).
Von der Regel zum Konzept
Das 3-2-1-1-0-Prinzip ist ein Rahmenwerk, kein fertiges Konzept. Es sagt dir, welche Eigenschaften deine Backup-Strategie haben muss, aber nicht, wie du sie für dein spezifisches Unternehmen umsetzt. Die Umsetzung hängt von Faktoren ab wie Datenvolumen und Änderungsrate, Verfügbarkeitsanforderungen (RTO/RPO), Budget und vorhandener Infrastruktur, regulatorische Anforderungen (DSGVO-Aufbewahrungsfristen, GoBD) und dem Know-how deines IT-Teams.
Nimm das 3-2-1-1-0-Prinzip als Checkliste: Hast du drei Kopien? Zwei Medientypen? Eine externe Kopie? Eine immutable Kopie? Regelmäßige Restore-Tests ohne Fehler? In ISMS Lite dokumentierst du dein Datensicherungskonzept, planst Restore-Tests und weist nach, dass alle fünf Punkte erfüllt sind. Das Tool deckt alle ISMS-Module 500 Euro pro Jahr ab, ohne Benutzerlimits oder versteckte Kosten. Wenn du alle fünf Punkte abhaken kannst und das Ganze dokumentiert hast, bist du in Sachen Datensicherung gut aufgestellt, besser als die große Mehrheit der mittelständischen Unternehmen in Deutschland.
Weiterführende Artikel
- Backup-Strategie und Restore-Tests: So sicherst du deine Daten richtig
- Wiederanlaufplan erstellen: Schritt für Schritt zum strukturierten Restart
- Business-Impact-Analyse (BIA): Kritische Prozesse identifizieren
- Ransomware-Angriff: Sofortmaßnahmen, Kommunikation und Wiederherstellung
- IT-Notfallkarte: Der Aushang für den Ernstfall