Datensicherung im Unternehmen: Die 3-2-1-1-Backup-Strategie einfach erklärt

Eine funktionierende Datensicherung ist kein IT-Detail, sondern eine Frage des Geschäftsfortbestands. Trotzdem stellen wir bei vielen mittelständischen Unternehmen in Düsseldorf und ganz NRW fest: Es gibt zwar ein Backup, aber niemand weiß genau, ob es im Ernstfall wirklich wiederherstellbar ist. Spätestens nach einem Ransomware-Vorfall zeigt sich, dass „wir machen Backups" und „wir können unsere Daten wiederherstellen" zwei völlig verschiedene Aussagen sind. In diesem Beitrag erklären wir Ihnen die bewährte 3-2-1-1-Backup-Strategie, was RPO und RTO für Ihre Architektur bedeuten und warum Microsoft 365 ein eigenes Backup braucht.

Warum normale Backups nach Ransomware versagen

Der klassische Denkfehler: Ein Backup liegt auf einem NAS im Serverraum oder auf einem Netzlaufwerk, das ständig erreichbar ist. Genau das ist das Problem. Moderne Ransomware durchsucht das Netzwerk gezielt nach erreichbaren Sicherungen und verschlüsselt sie mit. Was online und beschreibbar ist, gilt für die Angreifer als Teil der Beute.

Ein typisches Szenario aus der Praxis: An einem Freitagabend wird ein Account kompromittiert. Über das Wochenende bewegt sich der Angreifer durch das Netzwerk, findet das Backup-NAS, löscht oder verschlüsselt die vorhandenen Sicherungen und zieht erst danach die produktiven Server. Am Montagmorgen stehen die Systeme still – und das Backup, auf das man sich verlassen wollte, ist Teil des Schadens. Wer hier keine isolierte, unveränderbare Kopie hat, verhandelt am Ende über Lösegeld statt über einen geordneten Wiederanlauf.

Die klassische 3-2-1-Regel

Die 3-2-1-Regel ist seit Jahren der bewährte Mindeststandard für Datensicherung im Unternehmen. Sie ist bewusst einfach gehalten, damit sie sich in der Praxis durchhalten lässt:

• 3 Kopien Ihrer Daten – das Original plus zwei Sicherungen. So überlebt Ihr Bestand auch den Ausfall mehrerer Komponenten.
• 2 verschiedene Medien – beispielsweise lokaler Festplattenspeicher und ein zweites, technisch unabhängiges System. Fällt eine Medienart aus, bleibt die andere intakt.
• 1 Kopie extern (offsite) – an einem anderen physischen Standort oder in einem deutschen Rechenzentrum. Damit überstehen Sie auch Brand, Wasserschaden oder Diebstahl am Hauptstandort.

Die 3-2-1-Regel schützt zuverlässig gegen Hardware-Defekte, lokale Schäden und versehentliches Löschen. Gegen einen gezielten Ransomware-Angriff, der aktiv nach erreichbaren Backups sucht, reicht sie allein jedoch nicht mehr aus.

Das entscheidende Plus: 3-2-1-1 mit unveränderbarer Kopie

Genau hier setzt die Erweiterung an. Die zusätzliche „1" steht für mindestens eine Kopie, die immutable (unveränderbar) oder offline beziehungsweise air-gapped ist. Diese Sicherung lässt sich für einen definierten Zeitraum technisch nicht überschreiben, verändern oder löschen – auch nicht von einem Administrator-Account und auch nicht von einer Schadsoftware, die sich bereits Adminrechte verschafft hat.

In der Praxis erreichen wir das über Object-Lock-Speicher mit fester Aufbewahrungsfrist oder über Sicherungen, die nach dem Schreiben physisch vom Netz getrennt werden. Der Effekt ist derselbe: Selbst wenn ein Angreifer Ihr gesamtes Netzwerk übernimmt, existiert eine saubere, nicht manipulierbare Kopie, von der Sie wiederherstellen können. Diese eine Eigenschaft entscheidet im Ernstfall oft darüber, ob aus einem IT-Vorfall ein beherrschbarer Zwischenfall oder eine existenzielle Krise wird. Mehr zu unserem Ansatz für Managed Security und Backup & Recovery finden Sie auf den jeweiligen Leistungsseiten.

RPO und RTO: zwei Kennzahlen, die Ihre Architektur bestimmen

Bevor man über Technik spricht, sollten zwei Fragen beantwortet sein. Sie klingen technisch, sind aber reine Geschäftsentscheidungen:

• RPO (Recovery Point Objective) – wie viel Datenverlust ist verkraftbar? Anders gefragt: Wie alt darf der letzte brauchbare Sicherungsstand maximal sein? Ein RPO von 24 Stunden bedeutet, dass im schlimmsten Fall ein Arbeitstag neu erfasst werden muss. Wer das nicht akzeptieren kann, braucht häufigere Sicherungsintervalle.
• RTO (Recovery Time Objective) – wie lange darf der Wiederanlauf dauern? Also: Wie viele Stunden kann Ihr Betrieb stillstehen, bevor der Schaden untragbar wird?

Diese beiden Werte definieren Sie pro System – ein Warenwirtschaftssystem hat andere Anforderungen als ein Archiv. Aus RPO und RTO leitet sich anschließend alles Weitere ab: Sicherungsfrequenz, Speichertechnologie, Bandbreite und das passende Recovery-Verfahren. Wer die Architektur ohne diese Zahlen plant, optimiert ins Blaue – mal zu teuer, mal mit bösen Überraschungen im Ernstfall.

Ein ungetestetes Backup ist kein Backup

Der härteste Satz in der Datensicherung lautet: Ein Backup, das nie wiederhergestellt wurde, ist kein Backup, sondern eine Hoffnung. Wir erleben regelmäßig, dass Sicherungsjobs grün gemeldet werden, eine Wiederherstellung aber an inkonsistenten Daten, fehlenden Verschlüsselungs-Keys oder unvollständigen Datenbanken scheitert. Das merkt man genau dann, wenn es zu spät ist.

Deshalb gehören regelmäßige Restore-Tests beziehungsweise Recovery-Drills zu jeder seriösen Backup-Strategie. Wir empfehlen mindestens einen quartalsweisen Test, bei dem ausgewählte Systeme tatsächlich aus dem Backup wiederhergestellt und auf Funktion geprüft werden – nicht nur die Sicherung, sondern der komplette Wiederanlaufweg. So messen Sie real, ob Ihr RTO eingehalten wird, und dokumentieren den Ablauf, bevor Sie ihn unter Druck brauchen. Wie wir das bei Kunden umsetzen, zeigen unsere Referenzen.

Versionierung, Aufbewahrung und MFA für Backup-Zugänge

Zwei weitere Bausteine machen aus einer Sicherung eine belastbare Strategie:

• Versionierung und Aufbewahrung: Sichern Sie mehrere Stände über die Zeit, nicht nur den letzten. Ransomware oder eine fehlerhafte Änderung wird oft erst Tage später bemerkt – dann brauchen Sie einen sauberen Stand von vorher. Eine durchdachte Aufbewahrung (etwa tägliche, wöchentliche und monatliche Stände) gibt Ihnen diesen Spielraum.
• MFA für Backup-Zugänge: Die Verwaltungsoberfläche Ihrer Sicherung ist ein bevorzugtes Angriffsziel. Wer hier hineinkommt, kann Aufbewahrungsfristen ändern oder Sicherungen löschen. Schützen Sie alle Backup- und Speicherzugänge konsequent mit Multi-Faktor-Authentifizierung und trennen Sie sie vom normalen Administrator-Tagesgeschäft.

Sonderfall Microsoft 365: Sie sind für Ihre Inhalte verantwortlich

Ein weit verbreiteter Irrtum: „Unsere Daten liegen in Microsoft 365, das wird ja automatisch gesichert." Das stimmt nur halb. Microsoft betreibt die Infrastruktur hochverfügbar und schützt sie gegen Rechenzentrumsausfälle – das ist das sogenannte Shared-Responsibility-Modell. Für Ihre eigentlichen Inhalte in Exchange Online, SharePoint, OneDrive und Teams sind jedoch Sie verantwortlich.

Konkret heißt das: Gegen versehentliches oder böswilliges Löschen, gegen Ransomware, die über einen kompromittierten Account auch Cloud-Daten erfasst, und gegen Datenverlust nach Ablauf der Microsoft-internen Papierkorb-Fristen schützt Sie nur ein eigenständiges 365-Backup. Eine ausgelaufene Postfach-Lizenz kann sonst dazu führen, dass historische E-Mails endgültig verloren sind. Wir binden Microsoft 365 deshalb genauso in die 3-2-1-1-Logik ein wie Ihre On-Premises-Systeme – mit einer separaten, idealerweise unveränderbaren Kopie. Details zu unserem Cloud-Angebot rund um Microsoft 365 und Azure finden Sie auf der entsprechenden Seite.

Was im Ernstfall wirklich zählt

Wenn ein Vorfall eintritt, helfen weder die Zahl der Sicherungsjobs noch grüne Häkchen im Dashboard. Es zählen am Ende zwei Dinge: eine geprüfte, isolierte Kopie, an die der Angreifer nicht herankommt, und ein dokumentierter Wiederanlaufplan, der festhält, welche Systeme in welcher Reihenfolge zurückkommen, wer was tut und welche Abhängigkeiten bestehen. Wer beides hat, verhandelt nicht mit Erpressern, sondern arbeitet einen Plan ab. Genau diese Ruhe ist das eigentliche Ziel einer Backup-Strategie.

Unser Angebot: der Backup-Check für Ihr Unternehmen

Sie sind nicht sicher, ob Ihre aktuelle Datensicherung einem Ransomware-Angriff standhält oder ob Ihre Microsoft-365-Inhalte überhaupt gesichert sind? Dann machen wir gemeinsam eine ehrliche Standortbestimmung. In unserem Backup-Check prüfen wir Ihre vorhandene Architektur gegen die 3-2-1-1-Logik, bewerten RPO und RTO Ihrer wichtigsten Systeme und zeigen Ihnen konkret, wo eine unveränderbare Kopie und geprüfte Restore-Tests fehlen – mit Datenstandort Deutschland und ohne Verkaufsdruck. Erfahren Sie mehr über Backup & Recovery oder nehmen Sie direkt über unser Kontakt-Formular mit uns auf, um Ihren Backup-Check zu vereinbaren.