Inhabergeführt aus Fahrdorf bei Schleswig
info@dekom.it04635 – 40 30003

Die 3-2-1-Backup-Strategie:
So sichern Sie Ihre Daten wirklich ab.

Ein Backup zu haben ist gut. Ein Backup zu haben, das im Ernstfall auch funktioniert, ist besser. Was die 3-2-1-Regel bedeutet, warum Immutable Backups heute unverzichtbar sind – und was RTO und RPO mit Ihrem Unternehmen zu tun haben.

Backup-Konzept anfragen 04635 – 40 30003
3
Kopien Ihrer Daten
2
verschiedene Medientypen
1
Kopie offsite
0
Fehler beim Restore
Cloud & lokal erklärt
Immutable Backups
RTO & RPO verständlich
Praxistipps für KMU
Grundlagen

Was bedeutet die 3-2-1-Regel – und warum sollte sie jedes Unternehmen kennen?

Backups gibt es in fast jedem Unternehmen. Aber ein Backup, das im Ernstfall tatsächlich funktioniert und die Daten schnell wiederherstellbar macht? Das ist leider keine Selbstverständlichkeit. Die 3-2-1-Regel ist der bekannteste und bewährteste Standard, um Datensicherungen so zu organisieren, dass kein einzelner Fehler alles auf einmal vernichtet.

Die Regel ist einfach: Sie beschreibt eine Mindestanforderung an jede Backup-Strategie, die ernstzunehmen ist. Und sie gilt heute genauso wie vor zwanzig Jahren – auch wenn moderne Bedrohungen wie Ransomware sie um einen weiteren Baustein ergänzt haben.

Die drei Ziffern der 3-2-1-Regel erklärt

3 – Mindestens drei Kopien Ihrer Daten

Das klingt nach viel, ist aber leicht zu verstehen: Die Produktivdaten, die Sie täglich nutzen, zählen als erste Kopie. Ein lokales Backup auf einem NAS oder einer externen Festplatte ist die zweite. Eine weitere Sicherung – zum Beispiel in der Cloud oder an einem anderen Standort – bildet die dritte Kopie. Drei Kopien bedeuten, dass zwei gleichzeitig ausfallen müssten, bevor Sie wirklich in Schwierigkeiten geraten.

2 – Mindestens zwei verschiedene Medientypen

Zwei Backups auf demselben NAS schützen nicht vor einem Geräteausfall. Die zweite Ziffer fordert daher, dass die Kopien auf unterschiedlichen Speichermedien liegen: zum Beispiel eine Sicherung auf einem internen NAS und eine weitere auf einem externen Bandlaufwerk, einem anderen NAS-System oder in der Cloud. So kann ein einzelner Hardwaredefekt nicht alle Kopien gleichzeitig zerstören.

1 – Mindestens eine Kopie offsite

Brand, Wasserschaden, Einbruch: Wer alle Backups im selben Gebäude aufbewahrt, hat im Katastrophenfall trotzdem alles verloren. Die dritte Anforderung ist daher, dass mindestens eine Backup-Kopie außerhalb des eigenen Standorts liegt – entweder in einem zweiten Büro, bei einem Dienstleister oder in der Cloud. Das ist der entscheidende Schutz gegen standortbezogene Ereignisse.

3-2-1 auf einen Blick

  • 3 Kopien der Daten (Produktivdaten + 2 Backups)
  • 2 verschiedene Medientypen (z. B. NAS + Cloud)
  • 1 Kopie außerhalb des eigenen Standorts (offsite)
  • Alle Kopien regelmäßig auf Wiederherstellbarkeit testen

Die Erweiterung: 3-2-1-1-0-Regel

Ransomware-Angriffe haben gezeigt, dass die klassische 3-2-1-Regel allein nicht mehr ausreicht. Moderne Verschlüsselungstrojaner infiltrieren Netzwerke oft Wochen oder Monate, bevor sie zuschlagen – und befallen dabei auch Backup-Systeme, die dauerhaft am Netzwerk hängen. Deshalb wurde die 3-2-1-Regel um zwei weitere Kriterien ergänzt:

+1 – Mindestens eine unveränderliche (Immutable) Kopie

Ein Immutable Backup kann für einen definierten Zeitraum weder verändert noch gelöscht werden – auch nicht durch Ransomware oder versehentliche Administratorenbefehle. Diese Unveränderlichkeit ist heute das wichtigste Sicherheitsnetz gegen verschlüsselnde Schadsoftware. Viele Cloud-Backup-Dienste und moderne Backup-Appliances unterstützen Immutability als festes Feature. Mehr dazu bieten wir unter Backup & Recovery.

+0 – Null Fehler beim Restore-Test

Die letzte Ziffer ist die unbequemste – und die wichtigste: Ein Backup ist nur so gut, wie es sich im Ernstfall wiederherstellen lässt. Die 0 steht für „null Fehler bei regelmäßigen Restore-Tests". Wer sein Backup nie testet, weiß nicht, ob es funktioniert. In der Praxis entdecken viele Unternehmen erst im Notfall, dass ihre Backups korrupt, unvollständig oder schlicht nicht wiederherstellbar sind.

Cloud-Backup vs. lokales Backup: Was ist besser?

Die ehrliche Antwort lautet: Keines von beidem allein ist ausreichend. Cloud und lokale Sicherung ergänzen sich sinnvoll – und die 3-2-1-Regel schreibt genau das vor.

Vorteile lokaler Backups

Lokale Backups auf einem NAS oder einer Backup-Appliance sind schnell. Wenn Sie nach einem Systemausfall hunderte Gigabyte oder mehrere Terabyte wiederherstellen müssen, entscheidet die Netzwerkgeschwindigkeit über die Ausfallzeit. Eine lokale Sicherung ermöglicht in vielen Fällen einen Restore innerhalb von Stunden statt Tagen. Außerdem sind Sie unabhängig von der Internetverbindung und einem externen Anbieter.

Der Nachteil: Lokale Backups sind anfällig für standortbezogene Risiken (Brand, Diebstahl) und – wenn sie dauerhaft am Netzwerk hängen – für Ransomware.

Vorteile von Cloud-Backups

Cloud-Backups erfüllen automatisch die offsite-Anforderung der 3-2-1-Regel. Viele Dienste bieten Immutability, automatische Verschlüsselung und geografisch verteilte Speicherung. Sie sind gut skalierbar und erfordern keine eigene Hardware.

Der Nachteil: Beim Restore großer Datenmengen kann die Internetverbindung zum Flaschenhals werden. Auch die laufenden Kosten steigen mit dem Datenvolumen. Und: Sie sind auf die Verfügbarkeit und die Sicherheit des Anbieters angewiesen.

Die Empfehlung für KMU

Für die meisten kleinen und mittleren Unternehmen bewährt sich eine Kombination aus lokalem Backup (für schnelle Wiederherstellung) und Cloud-Backup (für offsite und Immutability). Ergänzt durch regelmäßige Restore-Tests ist das eine robuste Strategie, die auch Ransomware-Angriffe übersteht.

RTO und RPO: Was Ihr Unternehmen wirklich tolerieren kann

Zwei Begriffe, die jeder IT-Verantwortliche kennen sollte – und die vor einem Notfall definiert sein müssen:

RTO – Recovery Time Objective

Das RTO beschreibt die maximale Ausfallzeit, die Ihr Unternehmen tolerieren kann. Wie lange darf Ihr wichtigstes System maximal ausfallen, bevor erheblicher wirtschaftlicher Schaden entsteht? Vier Stunden? Einen halben Tag? Drei Tage? Die Antwort hängt vom Unternehmen ab – ein Online-Shop hat ein anderes RTO als eine Steuerkanzlei oder ein Handwerksbetrieb. Das RTO beeinflusst direkt, welche Backup-Technologie sinnvoll ist: Wer innerhalb einer Stunde wiederhergestellt sein muss, braucht andere Lösungen als wer 24 Stunden tolerieren kann.

RPO – Recovery Point Objective

Das RPO beantwortet die Frage: Wie viel Datenverlust ist akzeptabel? Wenn Ihr Backup einmal täglich läuft und morgens um 3 Uhr gesichert wird, dann liegt im schlimmsten Fall ein Datenverlust von fast 24 Stunden vor. Ist das tolerierbar? Für viele KMU ist ein RPO von 4–8 Stunden realistisch und ausreichend. Wer kritische Transaktionsdaten in Echtzeit sichern muss, braucht kontinuierliche Replikation.

RTO und RPO: Orientierungswerte für KMU

  • RTO 4–8 Stunden: Realistisch für die meisten kleinen Betriebe mit lokaler Sicherung
  • RTO unter 2 Stunden: Möglich mit Backup-Snapshots und Virtualisierung
  • RPO 24 Stunden: Typisch bei täglichem Backup (reicht für viele Branchen)
  • RPO unter 1 Stunde: Erfordert stündliche Sicherungen oder kontinuierliche Replikation
  • Beide Werte müssen vor dem Notfall definiert und mit dem Backup-Konzept abgestimmt sein

Warum das Testen entscheidet – und wie es in der Praxis läuft

Ein Backup-System, das nie getestet wird, ist ein falsches Sicherheitsgefühl. Die gute Nachricht: Restore-Tests müssen nicht den ganzen Betrieb lahmlegen. In der Praxis bewähren sich regelmäßige Teil-Restores – zum Beispiel das Wiederherstellen eines einzelnen Ordners oder eines einzelnen Servers in einer isolierten Testumgebung.

Moderne Backup-Lösungen bieten oft automatisierte Restore-Prüfungen, die täglich oder wöchentlich im Hintergrund ablaufen und einen Bericht liefern. Wer das noch nicht hat, sollte mindestens einmal im Quartal manuell testen. Dokumentieren Sie das Ergebnis – damit haben Sie im Zweifel auch einen Nachweis für Versicherungen oder Compliance-Anforderungen.

Was KMU in Schleswig-Holstein konkret tun sollten

Viele Unternehmen im Raum Schleswig, Flensburg, Eckernförde und Rendsburg haben zwar irgendeine Form von Datensicherung – aber kein strukturiertes Backup-Konzept, das den oben beschriebenen Anforderungen genügt. Häufige Schwachstellen:

  • Backup läuft auf einem NAS, das dauerhaft am Netzwerk hängt – keine Immutability, anfällig für Ransomware
  • Kein offsite-Backup: Alle Kopien im selben Gebäude
  • Backup-Jobs schlagen seit Wochen fehl, ohne dass jemand eine Fehlermeldung bemerkt hat
  • Keine definierten RTO/RPO-Werte: Im Ernstfall weiß niemand, was der Anspruch ist
  • Restore wurde nie getestet – ob das Backup tatsächlich funktioniert, ist unbekannt

DEKOM.IT hilft Unternehmen dabei, eine Backup-Strategie zu entwickeln, die zu ihrer Größe und ihren Anforderungen passt – von der Bestandsaufnahme über die Auswahl geeigneter Technologien bis zur laufenden Überwachung. Mehr dazu auf unserer Seite Backup & Recovery.

Auch im Zusammenhang mit Ransomware ist ein solides Backup-Konzept der wichtigste Schutz: Wer seine Daten sicher gesichert hat, muss im Angriffsfall kein Lösegeld zahlen. Mehr dazu im Ratgeber Ransomware-Schutz für KMU.

Häufige Fragen zur Backup-Strategie

Die 3-2-1-Regel besagt: Mindestens 3 Kopien Ihrer Daten aufbewahren, auf mindestens 2 verschiedenen Medientypen, davon mindestens 1 Kopie an einem anderen Standort (offsite). So ist sichergestellt, dass kein einzelner Fehler alle Backups gleichzeitig vernichtet.
Ein Immutable Backup kann für einen definierten Zeitraum nicht verändert, überschrieben oder gelöscht werden – auch nicht durch Ransomware oder Administratoren. Diese Unveränderlichkeit ist heute der wichtigste Schutz gegen Erpressungstrojaner, die gezielt Backup-Dateien angreifen.
RTO (Recovery Time Objective) gibt an, wie lange eine Wiederherstellung maximal dauern darf. RPO (Recovery Point Objective) beschreibt, bis zu welchem Zeitpunkt Daten maximal verloren gehen dürfen. Beide Werte müssen vor einem Notfall definiert sein.
Mindestens einmal pro Quartal sollte ein manueller Restore-Test stattfinden. Moderne Backup-Lösungen bieten automatisierte tägliche oder wöchentliche Prüfungen im Hintergrund. Entscheidend ist: Testen Sie, bevor der Ernstfall eintritt – und dokumentieren Sie das Ergebnis.

Weitere Ratgeber zum Thema Datenschutz & Sicherheit

Passende Leistungen: Backup & Recovery · IT-Sicherheit

Jetzt absichern

Backup-Konzept für Ihr Unternehmen

Wir analysieren Ihre aktuelle Datensicherung und zeigen Ihnen, wo Lücken bestehen – und wie Sie sich wirksam schützen.

So erreichen Sie uns

  • Kostenlose Bestandsaufnahme
  • Praxistaugliche Empfehlung
  • 100 % regional aus SH
Kostenlos & unverbindlich. Antwort innerhalb von 24 Stunden.
Passend dazu

Weitere Seiten zum Thema

LeistungBackup & RecoveryAutomatisierte, getestete Datensicherung nach 3-2-1. RatgeberRansomware-Schutz für KMUWie Sie einem Angriff standhalten – und sich vorbereiten. LeistungIT-SicherheitMehrschichtiger Schutz für Ihr Unternehmen. RatgeberNIS2 für KMUWas die neue Richtlinie für Ihr Unternehmen bedeutet. LeistungManaged ServicesLaufende IT-Betreuung mit planbaren Kosten. LeistungServerlösungenOn-prem, Cloud oder Hybrid – wir beraten Sie.
Ihr Backup sicher? Kostenloser Backup-Check.
Anrufen Check anfragen