CRYPTOITDATACRYPTOITDATA

IT-Infrastruktur

Die 3-2-1-0-Backup-Regel: warum „Backups haben" kein Schutz ist

Backups sind in 96 % der Ransomware-Angriffe das Ziel. Was die „0" in 3-2-1-0 ergänzt, warum RPO/RTO vor den Tools kommen und wie Sie ein Backup umsetzen, auf das Sie sich wirklich verlassen können.

11 Min. Lesezeit

Fast jedes Unternehmen wird Ihnen gelassen sagen, es „habe Backups". Das Problem ist: Die Angreifer wissen das besser als Sie — und sie verlassen sich darauf. Laut den Veeam-Berichten von 2025 werden Backups in 96 % der Ransomware-Angriffe direkt angegriffen, und in rund 76 % der Fälle gelingt es den Angreifern, sie zu kompromittieren. Mit anderen Worten: Das erste Ziel sind nicht Ihre Produktivdaten, sondern genau das Sicherheitsnetz, auf das Sie zum Wiederanlauf bauen.

„Backups haben" und „innerhalb einer akzeptablen Zeit wiederherstellen können" sind zwei völlig verschiedene Aussagen. Die erste betrifft die Speicherung. Die zweite betrifft eine Wiederherstellungsfähigkeit, die Sie getestet haben und der Sie vertrauen. Dazwischen stehen die Unternehmen, die am Tag eines Vorfalls feststellen, dass ihre kopierten Dateien ebenfalls verschlüsselt waren oder dass eine vollständige Wiederherstellung drei Tage statt drei Stunden dauert.

Ein Backup, das Sie nie getestet haben, ist nur Hoffnung

Die Daten zur realen Wiederherstellung sind gnadenlos. Von den Organisationen, die von Ransomware getroffen wurden, konnten nur etwa 10 % mehr als 90 % ihrer Daten wiederherstellen, während 57 % weniger als die Hälfte zurückholten (Veeam, 2025). Ein Bericht von 2026 bestätigt das Muster: Nur 28 % der Opfer stellten ihre betroffenen Daten vollständig wieder her, und 44 % blieben unter der 75-%-Marke. Das sind keine Unternehmen ohne Backup — das sind Unternehmen, die „Backups hatten".

Und selbst wenn die Daten wiederherstellbar sind, tötet Sie die Zeit. Eine Studie von 2026 zeigt, dass 60 % der IT-Verantwortlichen sechs Stunden oder mehr für eine vollständige Wiederherstellung brauchen und nur 5 % es in unter einer Stunde schaffen. Für ein Unternehmen, das jeden Tag fakturiert, produziert oder liefert, ist der Unterschied zwischen drei Stunden und drei Tagen Ausfall kein technisches Detail — es ist der Unterschied zwischen einem Vorfall und einer existenziellen Krise.

Warum versagen Backups genau dann, wenn Sie sie am dringendsten brauchen? Meist aus einigen wiederkehrenden Gründen:

  • Das Backup ist dauerhaft mit demselben Netzwerk verbunden — also wird es im selben Angriff mit allem anderen verschlüsselt.
  • Es wurde nie mit einer echten Wiederherstellung getestet — niemand weiß, ob das Archiv sich überhaupt öffnet, bis zu dem Tag, an dem es zählt.
  • Die Wiederherstellung „funktioniert", aber die Anwendungen starten nicht: fehlende Berechtigungen, Abhängigkeiten, Startreihenfolge der Dienste.
  • Niemand hat in Zahlen festgelegt, wie viele Daten das Unternehmen verlieren darf und wie lange es ausfallen kann — es gibt also kein Ziel, an dem sich Erfolg messen lässt.

Cloud-Synchronisierung ist kein Backup

Es gibt eine kostspielige Verwechslung, die in kleinen Unternehmen sehr verbreitet ist: Synchronisierung ist kein Backup. OneDrive, Google Drive oder Dropbox halten die Dateien auf allen Geräten aktuell — aber genau deshalb verbreiten sie auch die Verschlüsselung. Wenn Ransomware Ihre Dateien lokal verschlüsselt, wird die „sichere" Cloud-Version innerhalb von Sekunden mit der verschlüsselten überschrieben. Ein Sync-Dienst ohne Versionierung und ohne eine separate unveränderliche Kopie rettet Sie nicht vor einem Angriff, sondern repliziert ihn nur schneller auf jedes verbundene Gerät.

Der Grund, warum sich der Aufwand lohnt, ist einfach: die Kosten des Ausfalls. Für ein Unternehmen, das auf seine Systeme angewiesen ist, um zu fakturieren, zu produzieren oder zu liefern, bedeutet jede Stunde Stillstand verspätete Aufträge, umsonst bezahltes Personal und verlorenes Vertrauen. Ein billiges Backup, das nicht funktioniert, spart kein Geld — es verschiebt und verstärkt nur die Rechnung.

Von 3-2-1 zu 3-2-1-0: was die letzte Null verändert

Die klassische 3-2-1-Regel bleibt das richtige Fundament: 3 Kopien der Daten, auf 2 verschiedenen Medientypen, mit 1 Kopie off-site. Jahrelang reichte das. Im Ransomware-Zeitalter reicht es nicht mehr — denn es setzt voraus, dass eine „Off-Site"-Kopie automatisch sicher ist, was nicht mehr stimmt, wenn Angreifer aktiv nach Backups suchen.

Daher kommt die Erweiterung 3-2-1-0 (und die Variante 3-2-1-1-0). Die hinzugefügten Ziffern sind kein Marketing, sondern genau die Lücke, durch die die meisten Unternehmen heute fallen:

  1. 1Eine zusätzliche „1" — eine unveränderliche oder air-gapped Kopie: eine Kopie, die nicht verändert oder gelöscht werden kann, nicht einmal mit kompromittierten Admin-Zugangsdaten. Sie ist die einzige, die einen Angriff überlebt, der das Netzwerk übernommen hat.
  2. 2Eine „0" — null Wiederherstellungsfehler: Jedes Backup wird verifiziert, und die Wiederherstellung wird regelmäßig getestet, bis die Fehleranzahl null ist. Ein ungetestetes Backup ist kein Schutz, sondern eine Annahme.

Die Zahl, die Sie beunruhigen sollte: Obwohl 89 % der Organisationen berichten, dass Angreifer ihre Backups ins Visier genommen haben, nutzen nur 32 % tatsächlich ein unveränderliches Repository (Veeam, 2025). Der Rest hat die Bedrohung verstanden, aber die Tür nicht geschlossen. Hier wird die Wiederherstellung gewonnen oder verloren — nicht in der Backup-Software, sondern in der Architektur drumherum.

Ein Backup, das Sie nie wiederhergestellt haben, ist keine Sicherungskopie — es ist ein Versprechen, das Sie nie überprüft haben. Ransomware überprüft es für Sie, genau an dem Tag, an dem Sie es sich nicht leisten können, es herauszufinden.

RPO und RTO: die zwei Zahlen, die Sie vor jedem Tool festlegen

Der häufigste Umsetzungsfehler ist, mit „Welche Backup-Software kaufe ich?" zu beginnen. Die richtige Reihenfolge ist umgekehrt. Vor jedem Tool muss das Unternehmen zwei geschäftliche Fragen in konkreten Zahlen beantworten:

  • RPO (Recovery Point Objective) — wie viele Daten können Sie sich leisten zu verlieren, in Zeit gemessen? Eine Stunde Arbeit? Einen ganzen Tag? Die Antwort legt fest, wie oft das Backup läuft.
  • RTO (Recovery Time Objective) — wie lange kann das Unternehmen ausfallen, bevor die Wiederherstellung inakzeptabel teuer wird? Die Antwort legt fest, welche Art von Wiederherstellungsinfrastruktur Sie brauchen.

Ein Wiederherstellungsziel, das Sie nie getestet haben, ist bloß eine Vermutung. Diese zwei Zahlen, gemeinsam mit dem Management und nicht nur mit „dem IT-Mann" entschieden, machen aus dem Backup statt einer vagen technischen Ausgabe eine Entscheidung zur Geschäftskontinuität. Ohne sie ist jede Umsetzung über- oder unterdimensioniert — Sie zahlen zu viel für Daten, die nicht zählen, oder zu wenig für die, von denen das Unternehmen abhängt.

Ein Beispiel macht es konkret. Wenn das vereinbarte RPO eine Stunde beträgt, ist ein tägliches Backup keine Lösung: Ein Vorfall um 17 Uhr würde Sie den ganzen Arbeitstag kosten. Wenn das RTO vier Stunden beträgt, passt eine Wiederherstellung, die Terabytes über das Internet aus einer entfernten Cloud zieht, nicht — Sie brauchen zusätzlich zur Off-Site-Kopie auch eine schnelle lokale Kopie. Die zwei Zahlen sind keine Bürokratie; sie diktieren direkt die Architektur, die Frequenz und das Budget der gesamten Lösung.

Wie eine Umsetzung aussieht, die Sie wirklich schützt

Eine seriöse Umsetzung bedeutet nicht „ein Programm installieren und das Backup-Häkchen setzen". Es ist ein kleines Projekt mit klaren Schritten, bei dem jede Phase eine der obigen Lücken schließt. So strukturieren wir eine Umsetzung der Backup-Strategie 3-2-1-0:

  1. 1RPO/RTO-Workshop mit dem Management: Für jedes kritische System legen wir fest, wie viele Daten verloren gehen dürfen und wie viel Ausfallzeit akzeptabel ist. Hier entstehen die echten Ziele.
  2. 23-2-1-0-Design: Wir entwerfen die 3 Kopien auf 2 Medien, mit einer Off-Site-Kopie und — entscheidend — einer unveränderlichen Kopie, die Ransomware nicht erreichen kann.
  3. 3Konfiguration (Veeam Backup & Replication + QNAP-Speicher): Wir setzen die Lösung tatsächlich auf, mit aktivierter Aufbewahrung, Verschlüsselung und Unveränderlichkeit — nicht nur „an", sondern für das Angriffsszenario konfiguriert.
  4. 4Echter Restore-Test: Wir stellen Daten und Anwendungen tatsächlich in einer kontrollierten Umgebung wieder her, um zu beweisen, dass sie sich öffnen, starten und funktionieren — und dass wir das versprochene RTO einhalten.
  5. 5Runbooks + Schulung für den lokalen Administrator: Wir dokumentieren Schritt für Schritt, wer am Tag eines Vorfalls was tut, damit die Wiederherstellung nicht von einer einzelnen Person oder vom Glück abhängt.

Der letzte Schritt ist der, den die meisten Unternehmen überspringen — und genau der, der den Unterschied macht. Ein Backup wird in einem Rhythmus getestet, nicht einmalig bei der Installation. Die praktische Kadenz, die wir empfehlen:

  • Monatlich: eine Dateiwiederherstellung als Routineprüfung, dass sich Archive öffnen.
  • Vierteljährlich: eine Wiederherstellung auf Anwendungsebene, inklusive Abhängigkeiten und Berechtigungen.
  • Jährlich: eine vollständige Failover-Übung der kritischen Umgebung, gegen das RTO gestoppt.

Einige Fallstricke, die wir oft sehen und die eine gute Umsetzung von Anfang an schließt: zu kurze Aufbewahrung (Sie entdecken die Infektion erst, nachdem die einzige saubere Kopie abgelaufen ist), Unveränderlichkeit „auf dem Papier", aber nicht tatsächlich im Speicher gesetzt, eine einzige Person, die weiß, wie die Wiederherstellung läuft, und keine vollständig getrennte Kopie für die kritischsten Systeme. Jeder dieser Punkte macht aus einem Backup, das „existiert", eines, das Ihnen genau am entscheidenden Tag nicht hilft.

Die gute Nachricht: Reife zahlt sich aus. Unternehmen, die testen und unveränderliche Kopien vorhalten, erholen sich sichtbar schneller — der Anteil derer, die sich innerhalb einer Woche vollständig erholen, stieg in einem einzigen Jahr von 35 % auf 53 %. Das ist keine Magie, das ist Methode. Wenn Sie sehen wollen, was das für Ihr Setup bedeutet, beginnen wir bei Ihrer IT-Infrastruktur-Architektur und den Systemen, die nicht ausfallen dürfen.

Fazit

Backup ist kein Häkchen, das man setzt, sondern eine Wiederherstellungsfähigkeit, die man beweist. Den Unterschied zwischen „ich habe ein Backup" und „ich habe mein Unternehmen in zwei Stunden zurückgeholt" machen genau diese zwei Nullen: eine unveränderliche Kopie und ein echter Restore-Test, gegen bewusst gewählte RPO/RTO-Ziele. Wenn Sie nicht sicher sind, ob Ihr Backup heute einen echten Test bestehen würde, lassen Sie uns 30 Minuten sprechen — ich sage Ihnen konkret, wo Sie gefährdet sind und wo Sie anfangen.

Häufige Fragen

Was bedeutet die 3-2-1-0-Backup-Regel?+

Es ist die moderne Erweiterung der klassischen 3-2-1-Regel (3 Kopien, auf 2 Medien, 1 off-site). Die „0" ergänzt die Anforderung von null Wiederherstellungsfehlern — also verifizierte Backups und regelmäßig getestete Wiederherstellungen. Die Variante 3-2-1-1-0 ergänzt zudem explizit eine unveränderliche oder air-gapped Kopie, die Ransomware nicht löschen oder verschlüsseln kann.

Was ist ein unveränderliches Backup und warum ist es gegen Ransomware wichtig?+

Ein unveränderliches Backup ist eine Kopie, die für einen definierten Zeitraum nicht verändert oder gelöscht werden kann, nicht einmal mit kompromittierten Admin-Zugangsdaten. Es ist wichtig, weil Backups in 96 % der Ransomware-Angriffe direkt angegriffen werden; eine unveränderliche Kopie ist die einzige, die einen Angreifer, der das Netzwerk übernommen hat, garantiert überlebt.

Wie oft sollte ein Backup getestet werden?+

Wir empfehlen einen Rhythmus: monatlich eine Dateiwiederherstellung, vierteljährlich eine Wiederherstellung auf Anwendungsebene (mit Abhängigkeiten und Berechtigungen) und jährlich eine vollständige Failover-Übung, gegen das RTO-Ziel gestoppt. Ein Backup, das nur einmal bei der Installation getestet wurde, garantiert Ihnen sechs Monate später nichts.

Wie lange dauert die Umsetzung einer 3-2-1-0-Backup-Strategie?+

Das hängt von der Anzahl der Geräte und der Komplexität ab. Für eine kleine Umgebung (bis ~10 Geräte) dauert eine typische Umsetzung etwa eine Woche; für 10-50 Geräte 2-3 Wochen; für größere Umgebungen 4-6 Wochen. Jede Umsetzung umfasst einen RPO/RTO-Workshop, Design, Konfiguration, einen echten Restore-Test und Dokumentation.

Eine konkrete Frage?

30 Minuten, kostenlos. Wir sprechen genau über Ihre Situation.

Beratung buchen