Ihre Backups sind nur so gut wie die Wiederherstellung, die im Ernstfall daraus gelingt. Dieser Leitfaden zeigt Ihnen, woran Backup-Konzepte in der Praxis scheitern und wie Sie Ihre Datensicherung gegen Ransomware, Hardwareausfall und menschliche Fehler absichern.
drweb.de als bevorzugte Quelle auf Google hinzufügenQualitätsgeprüfte Inhalte direkt in Google News & DiscoverJetzt hinzufügen
Stellen Sie sich einen Mittwochnachmittag vor. Ein Mitarbeiter meldet, dass sich eine Tabelle nicht mehr öffnen lässt. Zehn Minuten später sind halbe Laufwerke verschlüsselt, und Ihr Team schaut auf Sie.
Die einzige Frage, die in diesem Moment zählt: Haben Sie ein sauberes Backup, von dem Sie wiederherstellen können?
Viele Unternehmen haben darauf keine schnelle Antwort. Backups laufen irgendwo, irgendwie. Ob sie sich zurückspielen lassen, hat seit Monaten niemand geprüft.
Genau diese Lücke zwischen „wir machen Backups“ und „wir können wiederherstellen“ entscheidet darüber, ob ein Vorfall ein schlechter Tag bleibt oder Ihr Unternehmen in die Insolvenz treibt.
Als IT-Verantwortlicher tragen Sie diese Entscheidung. Dieser Beitrag liefert Ihnen die Grundlage dafür: bewährte Prinzipien, ehrliche Schwachstellen und die Frage, die wir uns alle zu selten stellen.
Wie gut kennen Sie sich schon aus?
1 Wofür stehen die Zahlen in der klassischen 3-2-1-Regel? Aufklappen ↓
Auflösung aufdecken ↓
2 Wofür stehen die zusätzliche „1“ und die „0“ in der erweiterten 3-2-1-1-0-Regel? Aufklappen ↓
Auflösung aufdecken ↓
3 Was macht unveränderlichen Speicher (Immutability) so wirksam gegen Ransomware? Aufklappen ↓
Auflösung aufdecken ↓
4 Was beschreibt das Recovery Point Objective (RPO)? Aufklappen ↓
Auflösung aufdecken ↓
5 Wie testen Sie ein Backup, dem Sie wirklich vertrauen können? Aufklappen ↓
Auflösung aufdecken ↓
Warum scheitern Backups genau dann, wenn Sie sie brauchen?
Die meisten Backup-Pannen sind keine spektakulären Ausfälle, sondern stille Versäumnisse. Ein Job läuft seit Wochen auf Fehler, ohne dass jemand die Protokolle liest.
Ein typisches Muster zeigt sich beim Speicherort: Die Sicherung liegt auf einem NAS, das dauerhaft im selben Netz hängt wie die Produktivdaten. Für Ransomware ist diese Kopie damit genauso erreichbar wie alles andere.
Ein zweites Muster sind veraltete Medien. Die externe Festplatte von 2019 in der Schublade fühlt sich wie eine Absicherung an, lässt sich im Ernstfall aber nicht mehr zurückspielen.
Hinzu kommt der gefährlichste Irrtum überhaupt: die unbestätigte Annahme, dass ein laufender Job auch ein wiederherstellbarer Job ist. Genau hier trügt die Zuversicht.
Die Zahlen stützen das. Laut dem Veeam-Report 2025 hielten sich 69 Prozent der späteren Opfer vor dem Angriff für gut vorbereitet, ihre Einschätzung brach danach um mehr als 20 Prozentpunkte ein.
Unser Rat aus der Redaktion: Behandeln Sie jede unbestätigte Sicherung als Fiktion, bis ein dokumentierter Restore das Gegenteil bewiesen hat.
Was bedeutet die 3-2-1-Regel und warum reicht sie heute nicht mehr?
Die 3-2-1-Regel ist der Basisstandard der Datensicherung. Drei Kopien Ihrer Daten, auf zwei verschiedenen Medientypen, davon eine an einem externen Standort.
Das Bundesamt für Sicherheit in der Informationstechnik führt dieses Prinzip im IT-Grundschutz-Baustein CON.3 als Datensicherungskonzept und empfiehlt es ausdrücklich als Basismaßnahme gegen Ransomware.
Die Logik dahinter ist nüchtern. Drei Kopien überstehen den gleichzeitigen Ausfall zweier Medien, der externe Standort schützt vor Brand, Diebstahl und Wasserschaden am Hauptstandort.
Moderne Angreifer haben die Regel allerdings überholt. Kriminelle verschlüsseln längst nicht mehr nur Produktivdaten, sondern suchen gezielt die Sicherungen und löschen oder manipulieren sie zuerst.
Daraus ist die erweiterte 3-2-1-1-0-Regel entstanden. Die zusätzliche „1″ steht für eine unveränderliche oder physisch getrennte Kopie, die „0″ für null Fehler im Wiederherstellungstest.
Damit verschiebt sich der Anspruch. Eine Strategie gilt erst dann als belastbar, wenn mindestens eine Kopie für Angreifer grundsätzlich unerreichbar bleibt.
So bauen Sie eine Backup-Strategie, die einen Ransomware-Angriff überlebt.
Das Original plus zwei Sicherungen. Fällt eine Kopie aus, tragen die anderen beiden das Risiko.
Etwa lokaler Server und NAS oder Cloud. Ein einziger Medientyp fällt im Zweifel komplett aus.
An einem anderen Standort. Schutz vor Brand, Diebstahl und Wasserschaden am Hauptstandort.
Immutable oder per Air Gap getrennt. Ein Löschbefehl des Angreifers läuft hier ins Leere, selbst mit Administratorrechten.
Eine Sicherung gilt erst dann als belastbar, wenn ein dokumentierter Wiederherstellungstest fehlerfrei durchläuft.
Welche Backup-Methoden sollten Sie kennen?
Drei Verfahren bilden das Fundament jeder Sicherungsplanung, und jedes hat einen klaren Preis bei Speicherbedarf und Wiederherstellungszeit.
Das Voll-Backup sichert jedes Mal den kompletten Datenbestand. Die Wiederherstellung ist denkbar einfach, der Speicherbedarf dafür am höchsten.
Das inkrementelle Backup sichert nur die Änderungen seit der letzten Sicherung. Sparsam im Speicher, aber bei der Wiederherstellung auf eine lückenlose Kette aller Zwischenstände angewiesen.
Das differenzielle Backup sichert alle Änderungen seit dem letzten Voll-Backup. Dieser Ansatz liegt als Kompromiss dazwischen: mehr Speicher als inkrementell, schnellere Wiederherstellung.
In der Praxis kombinieren Sie diese Verfahren. Ein gängiges KMU-Muster ist das wöchentliche Voll-Backup, ergänzt durch tägliche inkrementelle Sicherungen und eine monatliche Langzeitarchivierung.
| Methode | Speicherbedarf | Wiederherstellungszeit | Abhängigkeit | Typischer Einsatz |
|---|---|---|---|---|
| Voll-Backup | Hoch | Kurz | Keine | Wöchentliche Basissicherung |
| Inkrementell | Niedrig | Lang | Gesamte Kette | Tägliche Sicherung |
| Differenziell | Mittel | Mittel | Letztes Voll-Backup | Tägliche Sicherung mit schnellerem Restore |
| Kontinuierlich (CDP) | Sehr hoch | Sehr kurz | Laufende Replikation | Geschäftskritische Datenbanken, ERP |
Wie schützt unveränderlicher Speicher Ihre Backups vor Ransomware?
Der entscheidende Hebel gegen moderne Angriffe heißt Immutability. Eine unveränderliche Kopie lässt sich nach dem Schreiben für einen definierten Zeitraum weder ändern noch löschen.
Der Unterschied zu einem klassischen Offsite-Backup ist fundamental. Selbst wenn ein Angreifer Administratorrechte erlangt, läuft sein Löschbefehl auf einem korrekt konfigurierten Immutable-Speicher ins Leere.
Die Dringlichkeit zeigt der Veeam-Befund deutlich. 89 Prozent der angegriffenen Organisationen berichteten von Attacken auf ihre Backups, aber nur 32 Prozent nutzten überhaupt unveränderliche Repositories.
Genau in diese Lücke zielt spezialisierte Hardware. Der Backup-Storage von Object First etwa ist als Zero-Trust-Appliance ausschließlich für Veeam-Umgebungen konzipiert und setzt auf absolute Immutability mit einer Zero-Access-Architektur.
Bemerkenswert daran ist der Ansatz: Selbst Personen mit gültigen Administrator-Anmeldedaten können die gesicherten Daten nach Herstellerangaben weder verändern noch löschen, und die Sicherheit wurde von unabhängigen Dritten wie der NCC Group im Penetrationstest geprüft.
Eine redaktionelle Einordnung dazu: Verlassen Sie sich nie allein auf die Marketing-Aussage „immutable“. Lassen Sie sich die Aufbewahrungssperre konkret demonstrieren, bevor Sie eine Lösung produktiv setzen, denn eine falsch konfigurierte Immutability ist gar keine.
Backup ist kein Häkchen im Compliance-Bogen, sondern die Generalprobe für den schlimmsten Tag Ihres Unternehmens. Object First und vergleichbare Immutable-Lösungen sind dabei die letzte Verteidigungslinie, denn 89 Prozent attackierte Backups bei 32 Prozent Immutability-Quote sagen mir: Die meisten proben diesen Tag nie.
— Markus Seyfferth, Chefredakteur Dr. Web
Was kostet ein Datenverlust Sie wirklich?
Die wahren Kosten eines Vorfalls stecken nicht im Lösegeld, sondern im Stillstand. Jede Stunde ohne ERP, ohne Warenwirtschaft, ohne E-Mail kostet Umsatz und Vertrauen.
Die Wiederherstellung dauert dabei länger, als die meisten Planungen annehmen. Branchenauswertungen für 2025 nennen eine durchschnittliche Ausfalldauer von rund 24 Tagen nach einem Ransomware-Angriff.
Noch ernüchternder ist die Erfolgsquote. Laut dem Veeam-Report 2025 stellten nur 10 Prozent der Betroffenen mehr als 90 Prozent ihrer Daten wieder her, 57 Prozent kamen auf weniger als die Hälfte.
Hier kommen zwei Kennzahlen ins Spiel, die Ihr Geschäftsrisiko in Zahlen übersetzen. Das Recovery Point Objective beschreibt, wie viel Datenverlust Sie maximal akzeptieren, gemessen am Zeitabstand der Sicherungen.
Das Recovery Time Objective definiert, wie lange die Wiederherstellung maximal dauern darf. Beide Werte legen Sie pro System fest, lange bevor ein Ernstfall sie erzwingt.
Unsere Prognose: Mit der NIS2-Pflicht zum Business-Continuity-Management wird die dokumentierte Festlegung von RPO und RTO vom Kürpunkt zur Nachweispflicht.
Wie testen Sie ein Backup, dem Sie wirklich vertrauen können?
Ein Backup beweist seinen Wert ausschließlich bei der Wiederherstellung. Alles davor ist Buchhaltung.
Deshalb gehört der Restore-Test ins Zentrum Ihrer Strategie. Spielen Sie regelmäßig eine echte Sicherung in eine isolierte Umgebung zurück und prüfen Sie, ob Daten und Anwendungen tatsächlich funktionieren.
Ein praktikabler Rhythmus für KMU ist die vierteljährliche Übung, dokumentiert mit Datum, Ergebnis und Dauer. Diese Dokumentation ist zugleich Ihr Nachweis gegenüber Prüfern und Versicherern.
Bauen Sie zwei organisatorische Sicherungen ein. Die Backup-Zugangsdaten sollten mindestens zwei Personen kennen, damit ein Urlaub oder Krankheitsfall die Wiederherstellung nicht blockiert.
Und prüfen Sie die Protokolle aktiv. Ein automatisierter Job, dessen Fehlermeldungen niemand liest, erzeugt nur das Gefühl von Sicherheit, nicht die Sache selbst.
Glossar
3-2-1-Regel
Basisprinzip der Datensicherung mit drei Kopien auf zwei Medientypen und einer externen Kopie.
3-2-1-1-0-Regel
Erweiterung der 3-2-1-Regel um eine unveränderliche Kopie und einen Restore-Test ohne Fehler.
Air Gap
Physische oder logische Trennung einer Backup-Kopie vom Produktivnetz, sodass ein Air Gap die Sicherung für Angreifer unerreichbar macht.
CDP
Continuous Data Protection, eine laufende Replikation, die mit CDP Datenstände nahezu in Echtzeit sichert.
Differenzielles Backup
Ein differenzielles Backup sichert alle Änderungen seit dem letzten Voll-Backup.
Disaster Recovery
Disaster Recovery umfasst alle Verfahren zur Wiederherstellung des IT-Betriebs nach einem Ausfall.
Immutability
Eigenschaft eines Speichers, bei der Immutability geschriebene Daten für eine festgelegte Frist unveränderlich und nicht löschbar hält.
Inkrementelles Backup
Ein inkrementelles Backup sichert nur die Änderungen seit der jeweils letzten Sicherung.
NIS2
EU-Richtlinie, die betroffene Unternehmen über NIS2 zu systematischem Risiko- und Business-Continuity-Management verpflichtet.
Ransomware
Ransomware ist Schadsoftware, die Daten verschlüsselt oder stiehlt und für deren Freigabe Lösegeld fordert.
Restore-Test
Ein Restore-Test ist die kontrollierte Wiederherstellung einer Sicherung zur Prüfung ihrer tatsächlichen Funktionsfähigkeit.
RPO
Recovery Point Objective, der maximal akzeptierte Datenverlust, gemessen am Sicherungsabstand.
RTO
Recovery Time Objective, die maximal akzeptierte Dauer bis zur Wiederherstellung.
Voll-Backup
Ein Voll-Backup sichert den gesamten Datenbestand bei jedem Durchlauf vollständig.
Zero Trust
Sicherheitsmodell, das nach dem Zero-Trust-Prinzip keinem Zugriff automatisch vertraut, auch nicht innerhalb des eigenen Netzes.
Häufige Fragen
Wie oft sollte ein Unternehmen seine Daten sichern?
Das hängt von Ihrem RPO ab. Für die meisten KMU bewährt sich eine tägliche inkrementelle Sicherung kombiniert mit einem wöchentlichen Voll-Backup, geschäftskritische Datenbanken brauchen kürzere Intervalle bis hin zur kontinuierlichen Sicherung.
Reicht ein Cloud-Backup als alleinige Lösung aus?
Nein. Ein Cloud-Backup ohne lokale Kopie kostet im Ernstfall wertvolle Wiederherstellungszeit, eine reine Cloud-Strategie verletzt zudem das Medien- und Standortprinzip der 3-2-1-Regel.
Was bedeutet ein unveränderliches Backup konkret?
Eine unveränderliche Sicherung lässt sich nach dem Schreiben für einen festgelegten Zeitraum weder ändern noch löschen, auch nicht mit Administratorrechten. Damit überlebt sie einen Ransomware-Angriff, der andere Kopien zerstört.
Wie oft sollte ich meine Backups testen?
Mindestens vierteljährlich mit einer dokumentierten Wiederherstellung in eine isolierte Umgebung. Ohne diesen Test wissen Sie nicht, ob Ihre Sicherung im Ernstfall funktioniert.
Was unterscheidet RPO von RTO?
Das RPO beschreibt den maximal akzeptablen Datenverlust, also wie alt die jüngste verfügbare Sicherung höchstens sein darf. Das RTO beschreibt die maximal akzeptable Zeit bis zur vollständigen Wiederherstellung.
Verlangt NIS2 eine bestimmte Backup-Strategie?
NIS2 schreibt keine konkrete Technik vor, verpflichtet betroffene Unternehmen aber zu systematischem Risikomanagement inklusive Business Continuity. Dokumentierte Backup-Verfahren mit definierten RPO- und RTO-Werten gehören damit zum Pflichtprogramm.
Quellen
- BSI, IT-Grundschutz-Baustein CON.3 Datensicherungskonzept: https://www.bsi.bund.de/
- Veeam, From Risk to Resilience: 2025 Ransomware Trends and Proactive Strategies Report: https://www.veeam.com/blog/ransomware-trends.html
- Object First, Backup-Storage für Veeam: https://objectfirst.com/de/
