Backup-Strategie für Unternehmen: Die 3-2-1-Regel in der Praxis

Eines meiner ersten Projekte als externer Systemadministrator begann mit einem Anruf: „Unser Fileserver ist verschlüsselt, alle Dateien haben komische Endungen, und das Backup-Programm sagt, die Sicherung ist auch betroffen." Das Unternehmen hatte zwar Backups – aber auf einem Laufwerk, das permanent im Netzwerk eingebunden war. Die Ransomware hatte es als ganz normale Freigabe mitverschlüsselt.

Seit damals folge ich einem einfachen Grundsatz: Ein Backup, das online erreichbar ist, ist kein Backup. Es ist eine Datei auf einem anderen Speicher.

Die 3-2-1-Regel

Die Grundlage jeder vernünftigen Backup-Strategie ist die 3-2-1-Regel:

3 Kopien der Daten (Produktivdatum + 2 Backups)
Auf 2 verschiedenen Medientypen (z.B. Festplatte und Band, oder On-Premise-Disk und Cloud-Storage)
Davon 1 Kopie an einem anderen Ort (Off-Site)

Eine moderne Erweiterung ist die 3-2-1-1-0-Regel:

3 Kopien, 2 Medientypen, 1 Off-Site, plus
1 Kopie, die immutable (unveränderlich) oder offline ist
0 Restore-Fehler bei regelmäßigen Tests

Besonders der Immutable-Aspekt ist in Zeiten von Ransomware entscheidend: Wenn Angreifer die Backup-Software kompromittieren und aktiv Backups löschen, muss mindestens eine Kopie technisch unveränderbar sein.

Eine typische Mittelstands-Lösung

Wie sieht eine funktionierende Umsetzung in der Praxis aus? Das Setup, das ich bei den meisten mittelständischen Kunden einsetze:

Veeam Backup & Replication als zentrale Software
Erstes Backup-Ziel: Schnelles NAS im Serverraum (Synology oder QNAP mit 40–80 TB), verbunden per 10 GBit
Zweites Backup-Ziel: Cloud-Storage mit Object-Lock (Wasabi, Backblaze B2 oder Microsoft Azure mit Immutable Blob)
Retention: 14 tägliche, 6 wöchentliche, 12 monatliche Kopien
Zeitplan: Inkrementell nachts um 22 Uhr, Vollsicherung am Wochenende
Monitoring: Veeam ONE oder eine einfache Mail-Benachrichtigung bei jedem fehlgeschlagenen Job

Diese Lösung kostet je nach Größe zwischen 4.000 € und 15.000 € pro Jahr – ein Bruchteil dessen, was ein erfolgreicher Ransomware-Angriff kosten würde.

Microsoft 365 braucht auch ein Backup

Ein Missverständnis, das weit verbreitet ist: „Meine Daten sind ja in Microsoft 365, die brauche ich nicht mehr backuppen." Das stimmt nicht. Microsoft garantiert die Verfügbarkeit der Infrastruktur, nicht aber den Inhaltsschutz gegen:

Versehentliches Löschen von Dateien (Retention oft nur 30–93 Tage)
Ransomware, die über einen infizierten Client OneDrive oder SharePoint verschlüsselt
Böswilliges Löschen durch einen ausscheidenden Mitarbeiter
Compliance-Anforderungen für längere Aufbewahrung

Veeam Backup for Microsoft 365, Afi.ai oder Druva sichern Exchange Online, SharePoint, OneDrive und Teams-Daten. Kostet pro Benutzer einige Euro im Monat – gut investiertes Geld.

Der Restore-Test: Der wichtigste Teil

Ein Backup, das nie getestet wurde, ist kein Backup. Das klingt banal, wird aber in 80 Prozent der Unternehmen, die ich übernehme, nicht gemacht. Der typische Dialog:

„Laufen Ihre Backups?" – „Ja, die sind grün." – „Wann haben Sie zuletzt einen Restore gemacht?" – „Keine Ahnung, noch nie einen gebraucht."

Das ist der Moment, in dem mir Angst wird. Ich setze deshalb bei jedem Kunden einen Restore-Rhythmus auf:

Monatlich: Eine zufällige VM wird in eine Sandbox wiederhergestellt, geprüft, wieder gelöscht.
Quartalsweise: Ein kompletter Datei-Restore auf einen Test-Server, inklusive Berechtigungen.
Jährlich: Eine Disaster-Recovery-Übung, bei der simuliert wird, dass der Haupt-Serverraum komplett ausgefallen ist und die Umgebung aus dem Off-Site-Backup neu hochgezogen werden muss.

Die jährliche Übung ist unbequem. Aber sie ist der einzige Weg, wirklich sicher zu sein, dass im Ernstfall die Wiederherstellung funktioniert – und dass alle Beteiligten wissen, was zu tun ist.

Fazit

Eine gute Backup-Strategie ist nicht teuer. Sie ist nur etwas aufwendiger als das Minimum, das viele Unternehmen haben. Wer die 3-2-1-Regel mit Immutable-Storage und regelmäßigen Restore-Tests kombiniert, ist gegen 95 Prozent aller Ausfallszenarien gewappnet – von Ransomware bis Hardware-Defekt.

Wenn Sie nicht genau wissen, ob Ihr aktuelles Backup wirklich funktioniert: Lassen Sie uns einen Restore-Test machen. Das ist die ehrlichste Antwort auf die Frage, wie sicher Ihre Daten sind.

Häufige Fragen

Wie lange sollten Backups aufbewahrt werden?

Das hängt von gesetzlichen Anforderungen ab. Für Steuerunterlagen zehn Jahre, für Handelsbriefe sechs Jahre. Für operative Daten reicht meist eine Retention von 90 Tagen bis zwei Jahren. Langfristige Archive werden am besten auf Immutable Object Storage abgelegt.

Ist ein Backup auf einem NAS sicher genug?

Als einziges Backup nein, als Teil einer mehrstufigen Strategie ja. Das NAS liefert schnelle Restore-Zeiten. Aber eine zweite Kopie muss off-site liegen, idealerweise auf Immutable Storage, damit Ransomware nicht beide Kopien gleichzeitig treffen kann.

Was ist Immutable Storage?

Speicher, der nach dem Schreiben für einen definierten Zeitraum nicht mehr verändert oder gelöscht werden kann – weder durch Anwender, noch durch Administratoren, noch durch Angreifer. Object Storage mit Object Lock (S3-kompatibel) oder Linux-basierte Veeam-Repositories mit XFS sind die üblichen Implementierungen.

Muss Microsoft 365 wirklich separat gesichert werden?

Ja. Microsoft ist für die Verfügbarkeit der Infrastruktur zuständig, aber nicht für den Schutz der Daten gegen Löschung, Ransomware oder böswillige Änderungen. Das steht auch explizit in der Microsoft-Service-Beschreibung. Wer seine 365-Daten nicht separat sichert, geht ein reales Risiko ein.

CV

Über den Autor

Christian Voß ist IT-Systemadministrator mit über 20 Jahren Erfahrung und Inhaber von Netzking in Lehrte bei Hannover. Er plant, baut und betreibt Microsoft-Server-Landschaften und Netzwerke für Unternehmen in Niedersachsen.

IT-Service anfragen → Weitere Artikel →

Klingt das nach Ihrem Thema?

Sprechen wir darüber, wie ich Ihre Server-Landschaft fit machen kann.

Unverbindliche Anfrage