Drei Kopien, zwei Medien, eine außer Haus — die 3-2-1-Regel bleibt die Basis sicherer Datensicherung, braucht gegen Ransomware aber eine Ergänzung.
Die 3-2-1-Regel bleibt das Fundament: drei Kopien der Daten, auf zwei verschiedenen Medientypen, eine davon außer Haus. Gegen Ransomware ergänzt man sie um eine unveränderbare oder offline gehaltene Kopie und regelmäßige Wiederherstellungstests. Erst der erfolgreiche Test beweist, dass sich Ihre Daten im Ernstfall wirklich zurückholen lassen.
Die 3-2-1-Regel ist eine bewährte Faustformel für sichere Datensicherung. Sie verlangt drei Kopien Ihrer Daten, gespeichert auf zwei unterschiedlichen Medientypen, von denen eine an einem anderen Ort liegt. Geprägt hat die Formel der Fotograf Peter Krogh; heute empfehlen sie unter anderem das BSI und das US-CERT als Mindeststandard.
Der Sinn dahinter ist Risikostreuung. Ein einzelner Festplattendefekt, ein versehentliches Löschen oder ein Brand im Serverraum vernichtet dann nie alle Kopien gleichzeitig. Die drei Kopien meinen dabei das Original plus zwei Sicherungen — nicht drei zusätzliche Backups. Zwei verschiedene Medientypen können etwa eine lokale Festplatte und ein Cloud-Speicher sein; die Auslagerung „außer Haus“ schützt gegen Ereignisse, die einen ganzen Standort treffen.
Der Charme der Regel liegt in ihrer Einfachheit. Sie lässt sich ohne tiefes Fachwissen merken und auf nahezu jede Umgebung anwenden, vom kleinen Büro bis zum Mittelständler mit eigenem Serverraum. Genau deshalb ist sie seit Jahren der gemeinsame Nenner, wenn es um verlässliche Datensicherung geht — und ein zentraler Baustein der Anforderungen aus der NIS2-Richtlinie.
Die 3-2-1-Regel stammt aus einer Zeit, in der vor allem technische Defekte das Risiko waren. Heute sind gezielte Angriffe das größere Problem — und Ransomware, also erpresserische Verschlüsselungssoftware, sucht aktiv nach erreichbaren Backups, um auch diese unbrauchbar zu machen. Das BSI führt Ransomware seit Jahren als größte Bedrohung für die Wirtschaft.
Ist ein Backup übers Netzwerk erreichbar, kann ein Angreifer es mitverschlüsseln oder löschen. Genau deshalb braucht es heute eine Kopie, die sich gar nicht verändern lässt oder physisch getrennt ist. Die Regel ist also nicht falsch, sondern ergänzungsbedürftig. Viele Fachleute sprechen inzwischen von der 3-2-1-1-0-Regel: zusätzlich eine unveränderbare oder offline gehaltene Kopie und null Fehler beim Wiederherstellungstest.
Hinzu kommt, dass Angreifer sich oft tage- bis wochenlang unbemerkt im Netz bewegen, bevor sie zuschlagen. In dieser Zeit erkunden sie auch, wo die Sicherungen liegen, und besorgen sich die nötigen Rechte, um sie zu zerstören. Eine Kopie, die für sie schlicht nicht erreichbar ist, durchkreuzt genau diese Strategie — und ist damit die Lebensversicherung im Ernstfall.
Ein zweites, oft übersehenes Problem ist die Aufbewahrungsdauer. Wer nur die letzten Tage vorhält, hat im Zweifel nur verschlüsselte oder bereits manipulierte Stände gesichert — denn Angreifer warten bewusst, bis ihre Spuren in allen frischen Backups stecken. Eine gestaffelte Aufbewahrung über Wochen und Monate (täglich, wöchentlich, monatlich) stellt sicher, dass es immer einen sauberen Wiederherstellungspunkt aus der Zeit vor dem Angriff gibt.
Zwei Konzepte schließen die Lücke. Ein unveränderbares Backup (englisch immutable) lässt sich für einen festgelegten Zeitraum technisch weder ändern noch löschen — auch nicht von einem Administrator mit gestohlenen Zugangsdaten. Realisieren lässt sich das etwa über Object-Lock-Funktionen moderner Speicher oder spezialisierter Cloud-Dienste.
Ein offline gehaltenes Backup ist physisch vom Netz getrennt und damit für Angreifer schlicht unerreichbar. Klassisch ist das ein Bandlaufwerk oder eine Festplatte, die nach der Sicherung entnommen und ausgelagert wird — das sogenannte Air-Gap. Was nicht am Netz hängt, kann auch nicht aus der Ferne verschlüsselt werden.
In der Praxis kombiniert man beides je nach Datenmenge und Anspruch. Für viele Betriebe ist eine Kombination aus unveränderbarem Cloud-Speicher und einer lokalen, getrennten Sicherung ein guter Mittelweg. Entscheidend ist nicht das Produkt, sondern dass das Prinzip der Unangreifbarkeit konsequent umgesetzt wird: Mindestens eine Kopie muss außerhalb der Reichweite eines Angreifers liegen, der bereits im Netz ist. Diesen Grundsatz teilen alle ernstzunehmenden Schutzkonzepte gegen Ransomware.
Der häufigste und gefährlichste Fehler ist, sich auf ein Backup zu verlassen, das nie zurückgespielt wurde. Ein Backup, dessen Wiederherstellung niemand geprüft hat, ist keine Sicherheit, sondern eine Hoffnung. Die „0“ in der erweiterten 3-2-1-1-0-Regel steht genau dafür: null Fehler bei einem dokumentierten Restore-Test.
Im Ernstfall zeigt sich erst, ob die Daten vollständig, lesbar und im erwarteten Zeitrahmen verfügbar sind. Defekte Sicherungen, vergessene Systeme oder eine viel zu lange Rückspielzeit fallen sonst genau dann auf, wenn es am teuersten ist. Typische böse Überraschungen sind eine unbemerkt seit Wochen fehlgeschlagene Sicherung, eine Datenbank, die zwar kopiert, aber nicht konsistent gesichert wurde, oder eine Restore-Dauer, die den verkraftbaren Rahmen sprengt. Deshalb gehören regelmäßige, dokumentierte Restore-Tests zu jedem ernsthaften Backup-Konzept — bei kritischen Systemen mindestens vierteljährlich.
Ein Test beantwortet außerdem eine Frage, die im Schadensfall plötzlich sehr wichtig wird: Wie lange dauert es, bis wir wieder arbeitsfähig sind? Diesen Zielwert nennt man Recovery Time Objective (RTO). Wer ihn vorher kennt und übt, verliert im Notfall Stunden statt Wochen — und kann seinen Betrieb realistisch darauf einstellen.
Sinnvoll ist es, den Test nicht nur technisch, sondern als kleine Übung des Ernstfalls anzulegen: Wer veranlasst die Wiederherstellung, woher kommen die Zugangsdaten, in welcher Reihenfolge fahren die Systeme hoch? Diese organisatorischen Fragen entscheiden im Notfall oft mehr über die Ausfallzeit als die reine Technik — und lassen sich nur in einer Übung beantworten, nicht in der Krise.
Die Sicherungshäufigkeit richtet sich danach, wie viel Datenverlust Ihr Betrieb verkraftet. Diesen Wert nennt man Recovery Point Objective (RPO) — vereinfacht: Wie viele Stunden Arbeit dürfen im schlimmsten Fall verloren gehen? Für die meisten Betriebe ist mindestens eine tägliche Sicherung sinnvoll, bei kritischen Daten häufiger, etwa stündlich.
Ein vollständiges Konzept denkt über den Dateiserver hinaus. Auch diese Bereiche gehören in die Planung:
So entsteht aus einer Faustregel ein belastbares Sicherheitsnetz, das auch dem Ernstfall standhält. Gern prüfen wir Ihr bestehendes Backup-Konzept und zeigen, an welcher Stelle es heute noch eine Lücke hat — sprechen Sie uns einfach über die Kontaktseite an.
Diese drei Begriffe werden oft verwechselt, erfüllen aber unterschiedliche Aufgaben — und keiner ersetzt den anderen. Ein Backup ist eine eigenständige, möglichst getrennte Kopie der Daten, aus der sich nach einem Schaden wiederherstellen lässt. Es ist die Grundlage der 3-2-1-Regel.
Ein Snapshot dagegen friert den Zustand eines Systems zu einem Zeitpunkt ein, liegt aber meist auf demselben Speicher wie die Originaldaten. Er ist schnell und praktisch für kurzfristige Rücksprünge, etwa nach einem Update — schützt aber nicht, wenn der zugrundeliegende Speicher ausfällt oder verschlüsselt wird. Ein Snapshot ist deshalb kein Ersatz für ein echtes Backup.
Ein Archiv schließlich dient der Langzeitaufbewahrung von Daten, die selten gebraucht werden, aber aufbewahrt werden müssen — etwa aus steuerlichen oder rechtlichen Gründen, in Deutschland teils über zehn Jahre. Während ein Backup auf schnelle Wiederherstellung des laufenden Betriebs zielt, geht es beim Archiv um Unveränderbarkeit und Auffindbarkeit über lange Zeiträume. Ein gutes Datensicherungskonzept kombiniert deshalb alle drei bewusst: Snapshots für schnelle Rücksprünge, Backups für die Wiederherstellung im Ernstfall und Archive für die gesetzeskonforme Aufbewahrung.
Wer diese Begriffe sauber trennt, vermeidet einen teuren Trugschluss: Snapshots oder eine reine Synchronisation in die Cloud fühlen sich an wie ein Backup, sind aber keines. Wird die Originaldatei verschlüsselt, zieht eine Echtzeit-Synchronisation den Schaden meist sofort in die Cloud nach. Echte Sicherheit entsteht erst durch eigenständige, versionierte und vom Original getrennte Kopien.
Geschäftsführer bei implec. Schreibt hier über Themen aus dem IT-Alltag des Mittelstands — praxisnah und ohne Buzzword-Bingo.
Alle Beiträge dieses Autors →FAQ
Kurz und konkret beantwortet.
Microsoft sorgt für die Verfügbarkeit der Plattform, übernimmt aber keine vollständige Langzeitsicherung Ihrer Inhalte. Gelöschte Mails oder Dateien sind nach Ablauf der Aufbewahrungsfristen unwiederbringlich weg. Eine eigene Sicherung von Microsoft 365 ist daher dringend empfehlenswert.
Cloud eignet sich gut als externe Kopie und erfüllt den Auslagerungsteil der Regel. Ergänzen sollten Sie es um eine unveränderbare oder lokale Variante, damit ein Angriff, ein versehentliches Löschen oder ein Anbieterproblem nicht alle Kopien zugleich betrifft.
Das hängt von Datenmenge, Backup-Medium und Anbindung ab und wird als Recovery Time Objective (RTO) geplant. Genau deshalb ist der Restore-Test wichtig: Er zeigt vorab, ob die Rückspielzeit zu Ihren betrieblichen Anforderungen passt.
Ein Snapshot friert einen Systemzustand ein, liegt aber meist auf demselben Speicher wie die Originaldaten und fällt mit diesem aus. Ein Backup ist eine eigenständige, getrennte Kopie — nur sie schützt zuverlässig vor Hardware-Defekt, Brand oder Ransomware.
Das richtet sich nach dem tolerierbaren Datenverlust (Recovery Point Objective). Für die meisten Betriebe ist mindestens eine tägliche Sicherung sinnvoll, bei kritischen Daten häufiger. Entscheidend ist, die Frequenz an den möglichen Schaden anzupassen.
Fragen zu Ihrem Projekt?
Ob IT-Sicherheit oder ein anderes Thema — wir schauen uns Ihre Situation an und sagen Ihnen ehrlich, was sinnvoll ist.
Kontakt aufnehmenKostenlose Erstberatung
Unverbindlich und ohne Fachchinesisch. Wählen Sie den Weg, der Ihnen am liebsten ist.
4,7 ★ GoogleAntwort in unter 4 Stundenpersönlich seit 2002
Rückruf anfordern
Innerhalb von 4 Stunden — kostenlos und unverbindlich.
Wir melden uns innerhalb von 4 Stunden bei Ihnen.
